在Blazor Webassembly项目中使用ADB2C进行身份验证时,身份验证/注销似乎已注销,并显示一个页面,其中包含关闭所有浏览器的请求。无论如何,如果用户仅使用浏览器中的“后退”按钮,则他/他仍然可以访问内容并且仍被视为已登录。那么,如何获得真正的注销?
将用户定向到end_session_endpoint时,将使用Azure AD B2C清除用户的某些单点登录状态,不会将用户从用户的社交身份提供程序(IDP)会话中注销。如果用户在后续登录期间选择了相同的IDP,则将重新认证他们,而无需输入其凭据。如果用户要退出您的B2C应用程序,则不一定意味着他们要完全退出其Facebook帐户。但是,对于本地帐户,用户会话将正确结束。
要注销用户,请将用户重定向到OpenID Connect元数据文档(example)中列出的end_session端点:
GET https://{tenant}.b2clogin.com/{tenant}.onmicrosoft.com/{policy}/oauth2/v2.0/logout?post_logout_redirect_uri=https%3A%2F%2Fjwt.ms%2F
参考:Azure Active Directory B2C: Web sign-in with OpenID Connect