Интеграция Azure AD в веб-приложение Java.Как взломать Azure AD

Question

Мы интегрировали наше приложение Java с Azure Active Directory.Таким образом, проблема, с которой мы сталкиваемся в данный момент, заключается в том, что сеанс Azure Active Directory не уничтожается при разрушении сеанса Spring Security (например, при перезапуске Tomcat на веб-сервере)

Есть ли способ узнатькакой параметр определяет сеанс Azure Active Directory?Или вообще у вас есть какие-либо предложения о том, как наилучшим образом справиться с этим?

Мы использовали этот пример для интеграции нашего приложения Java с Active Directory.

https://azure.microsoft.com/en-us/resources/samples/active-directory-java-webapp-openidconnect/

Спасибо,

Энди Г.

Answer 1

В разделе Send a sign-out request официального документа Authorize access to web applications using OpenID Connect and Azure Active Directory показано, как вывести пользователя из вашего приложения, как показано ниже.

Отправитьзапрос на выход

Если вы хотите выйти из приложения, недостаточно просто очистить куки-файлы вашего приложения или иным образом завершить сеанс с пользователем.Вы также должны перенаправить пользователя на end_session_endpoint для выхода.Если вы этого не сделаете, пользователь сможет повторно пройти аутентификацию в вашем приложении без повторного ввода своих учетных данных, поскольку у него будет действительный сеанс единого входа с конечной точкой Azure AD.

Вы можете просто перенаправитьпользователь end_session_endpoint, указанный в документе метаданных OpenID Connect:

GET https://login.microsoftonline.com/common/oauth2/logout?post_logout_redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F

Параметр : рекомендуется post_logout_redirect_uri

Описание : URLчто пользователь должен быть перенаправлен после успешного выхода из системы.Если не включено, пользователю показывается общее сообщение.

Кроме того, в C # Azure-Samples/active-directory-dotnet-web-single-sign-out есть официальный пример, к которому вы можете обратиться.