令人不安的场景是:用户注销应用程序,但他们的会话仍然有效,这样他们就可以重新登录而无需重新进行身份验证。下面的代码片段是需要为 B2C 会话行为配置的代码部分吗?
app.UseRewriter(
new RewriteOptions().Add(
context =>
{
if (context.HttpContext.Request.Path == "/MicrosoftIdentity/Account/SignedOut")
{ context.HttpContext.Response.Redirect("/Home/Index"); }
}
)
);
当您想让用户退出应用程序时,这还不够 清除应用程序的 cookie 或以其他方式结束会话 用户。将用户重定向到 Azure AD B2C 以注销。如果你失败了 为此,用户可能能够重新验证您的应用程序 无需再次输入他们的凭据
注销端点可以在查询字符串中接收可选的 post_logout_redirect_uri 参数,您可以在其中指定另一个 URL,您的用户将最终由 B2C 重定向到该 URL。这可以是任何资源的地址,例如您的主页或您自己的页面向用户显示“您已成功退出我们的服务”消息。
post_logout_redirect_uri - 用户成功注销后应重定向到的 URL。如果未包含,Azure AD B2C 会向用户显示一条通用消息。