我正在使用Kentor.AuthServices为SAML / SSO身份验证实现服务提供商概念验证。用例是一个自助服务终端风格的应用程序,许多不同的用户在注册我们的服务时可能会一个接一个地进行身份验证。
我遇到的问题如下:注销后,用户未按预期进行身份验证(User.Identity.IsAuthenticated == false)。但是当下一个用户登录时,先前注销的用户无需输入凭据即可重新进行身份验证。这是预期的行为吗?如果是这样,有没有办法防止这种行为(除了手动转储cookie)?
答案 0 :(得分:4)
最有可能发生的事情是您确实终止了SP上的本地会话。但是当您尝试再次登录时,Idp仍然具有活动会话并自动重新验证该会话。
要解决此问题,您需要使用Single Logout。 AuthServices从0.17.0开始支持。要启用它,您需要配置服务证书(需要签署注销消息)。当然,你的Idp必须支持它。检查Idp元数据中的Logout端点。