Kentor.AuthServices注销是否正确？

Question

我正在使用Kentor.AuthServices实施SAML/SSO身份验证的服务提供商概念验证。这个用例是一个kiosk风格的应用程序，在他们注册我们的服务时，许多不同的用户可能会陆续进行身份验证。

我遇到的问题如下所示：注销后，用户未按预期进行身份验证（User.Identity.IsAuthenticated == false）。但是，当下一个用户登录时，先前注销的用户将不必输入凭证即可重新进行身份验证。那是预期的行为？如果是这样，是否有办法阻止这种行为（手动转储Cookie除外）？

Answer 1

最可能发生的事情是您确实正在终止SP上的本地会话。但是当您尝试再次登录时，Idp仍然有一个活动会话并自动与该会话重新进行身份验证。

要解决此问题，您需要使用单一注销。 AuthServices支持从0.17.0开始。要启用它，您需要配置服务证书（注销消息需要签名）。当然你的Idp必须支持它。检查Idp元数据中的注销端点。