Kentor.AuthServices註銷是否正確？

Question

我正在使用Kentor.AuthServices實施SAML/SSO身份驗證的服務提供商概念驗證。這個用例是一個kiosk風格的應用程序，在他們註冊我們的服務時，許多不同的用戶可能會陸續進行身份驗證。

我遇到的問題如下所示：註銷後，用戶未按預期進行身份驗證（User.Identity.IsAuthenticated == false）。但是，當下一個用戶登錄時，先前註銷的用戶將不必輸入憑證即可重新進行身份驗證。那是預期的行爲？如果是這樣，是否有辦法阻止這種行爲（手動轉儲Cookie除外）？

Answer 1

最可能發生的事情是您確實正在終止SP上的本地會話。但是當您嘗試再次登錄時，Idp仍然有一個活動會話並自動與該會話重新進行身份驗證。

要解決此問題，您需要使用單一註銷。 AuthServices支持從0.17.0開始。要啓用它，您需要配置服務證書（註銷消息需要簽名）。當然你的Idp必須支持它。檢查Idp元數據中的註銷端點。