OIDC ログアウト
エンドユーザーがアプリケーションにログインできるようになったら、ログアウトする方法を検討することが重要です。
一般に、考慮すべき使用例は 3 つあります。
ローカルログアウトのみを行いたい
アプリケーションと、アプリケーションによって開始された OIDC プロバイダーの両方をログアウトしたい
アプリケーションと、OIDC プロバイダーによって開始された OIDC プロバイダーの両方をログアウトしたい
ローカルログアウト
ローカルログアウトを実行するには、特別な OIDC 構成は必要ありません。Spring Security は、ローカルログアウトエンドポイントを自動的に起動します。これは、logout()
DSL を通じて構成できます。
OpenID Connect 1.0 クライアント開始のログアウト
OpenID Connect セッション管理 1.0 を使用すると、クライアントを使用してプロバイダーのエンドユーザーをログアウトできます。利用可能な戦略の 1 つは RP からのログアウト (英語) です。
OpenID プロバイダーがセッション管理とディスカバリ (英語) の両方をサポートしている場合、クライアントは OpenID プロバイダーのディスカバリメタデータ (英語) から end_session_endpoint
URL
を取得できます。これを行うには、次のように issuer-uri
を使用して ClientRegistration
を構成します。
spring:
security:
oauth2:
client:
registration:
okta:
client-id: okta-client-id
client-secret: okta-client-secret
...
provider:
okta:
issuer-uri: https://dev-1234.oktapreview.com
また、RP 開始ログアウトを実装する OidcClientInitiatedLogoutSuccessHandler
を次のように構成する必要があります。
Java
Kotlin
@Configuration
@EnableWebSecurity
public class OAuth2LoginSecurityConfig {
@Autowired
private ClientRegistrationRepository clientRegistrationRepository;
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authorize -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults())
.logout(logout -> logout
.logoutSuccessHandler(oidcLogoutSuccessHandler())
);
return http.build();
}
private LogoutSuccessHandler oidcLogoutSuccessHandler() {
OidcClientInitiatedLogoutSuccessHandler oidcLogoutSuccessHandler =
new OidcClientInitiatedLogoutSuccessHandler(this.clientRegistrationRepository);
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}");
return oidcLogoutSuccessHandler;
}
}
@Configuration
@EnableWebSecurity
class OAuth2LoginSecurityConfig {
@Autowired
private lateinit var clientRegistrationRepository: ClientRegistrationRepository
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeHttpRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
logout {
logoutSuccessHandler = oidcLogoutSuccessHandler()
}
}
return http.build()
}
private fun oidcLogoutSuccessHandler(): LogoutSuccessHandler {
val oidcLogoutSuccessHandler = OidcClientInitiatedLogoutSuccessHandler(clientRegistrationRepository)
// Sets the location that the End-User's User Agent will be redirected to
// after the logout has been performed at the Provider
oidcLogoutSuccessHandler.setPostLogoutRedirectUri("{baseUrl}")
return oidcLogoutSuccessHandler
}
}
|
OpenID Connect 1.0 バックチャネルログアウト
OpenID Connect セッション管理 1.0 を使用すると、プロバイダーにクライアントへの API 呼び出しを行わせることで、クライアントでエンドユーザーをログアウトできます。これは OIDC バックチャネルログアウト (英語) と呼ばれます。
これを有効にするには、次のように DSL でバックチャネルログアウトエンドポイントを立ち上げます。
Java
Kotlin
@Bean
OidcBackChannelLogoutHandler oidcLogoutHandler() {
return new OidcBackChannelLogoutHandler();
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)
.oauth2Login(withDefaults())
.oidcLogout((logout) -> logout
.backChannel(Customizer.withDefaults())
);
return http.build();
}
@Bean
fun oidcLogoutHandler(): OidcBackChannelLogoutHandler {
return OidcBackChannelLogoutHandler()
}
@Bean
open fun filterChain(http: HttpSecurity): SecurityFilterChain {
http {
authorizeRequests {
authorize(anyRequest, authenticated)
}
oauth2Login { }
oidcLogout {
backChannel { }
}
}
return http.build()
}
次に、次のように、Spring Security によって公開されたイベントをリッスンして古い OidcSessionInformation
エントリを削除する方法が必要です。
Java
Kotlin
@Bean
public HttpSessionEventPublisher sessionEventPublisher() {
return new HttpSessionEventPublisher();
}
@Bean
open fun sessionEventPublisher(): HttpSessionEventPublisher {
return HttpSessionEventPublisher()
}
これにより、HttpSession#invalidate
が呼び出されると、セッションもメモリから削除されます。
以上です!
これにより、OIDC プロバイダーがアプリケーション内のエンドユーザーの特定のセッションを無効にするようにリクエストできるエンドポイント /logout/connect/back-channel/{registrationId}
が起動します。
oidcLogout を使用するには、oauth2Login も構成する必要があります。 |
oidcLogout では、バックチャネル経由で各セッションを正しくログアウトするために、セッション Cookie を JSESSIONID と呼ぶ必要があります。 |
バックチャネルログアウトアーキテクチャ
識別子が registrationId
である ClientRegistration
について考えてみましょう。
バックチャネルログアウトの全体的なフローは次のようになります。
ログイン時に、Spring Security は、ID トークン、CSRF トークン、プロバイダーセッション ID (存在する場合) を、
OidcSessionRegistry
実装内のアプリケーションのセッション ID に関連付けます。その後、ログアウト時に、OIDC プロバイダーは、
sub
(エンドユーザー) またはsid
(プロバイダーセッション ID) がログアウトすることを示すログアウトトークンを含む/logout/connect/back-channel/registrationId
への API 呼び出しを行います。Spring Security は、トークンの署名とクレームを検証します。
トークンに
sid
クレームが含まれている場合、そのプロバイダーセッションに関連するクライアントのセッションのみが終了します。それ以外の場合、トークンに
sub
クレームが含まれている場合は、そのエンドユーザーに対するすべてのクライアントのセッションが終了します。
Spring Security の OIDC サポートはマルチテナントであることに注意してください。これは、クライアントがログアウトトークンの aud クレームに一致するセッションのみを終了することを意味します。 |
このアーキテクチャの実装の注目すべき点の 1 つは、対応するセッションごとに、受信バックチャネルリクエストを内部的に伝播することです。最初は、これは不要に思えるかもしれません。ただし、サーブレット API は HttpSession
ストアへの直接アクセスを許可しないことを思い出してください。内部ログアウト呼び出しを行うことで、対応するセッションを検証できるようになりました。
さらに、ログアウト呼び出しを内部的に偽造すると、各 LogoutHandler
セットをそのセッションおよび対応する SecurityContext
に対して実行できるようになります。
セッションログアウトエンドポイントのカスタマイズ
OidcBackChannelLogoutHandler
が公開されると、セッションログアウトエンドポイントは {baseUrl}/logout/connect/back-channel/{registrationId}
になります。
OidcBackChannelLogoutHandler
が接続されていない場合、URL は {baseUrl}/logout/connect/back-channel/{registrationId}
になりますが、これは CSRF トークンを渡す必要があるため推奨されません。これは、アプリケーションが使用するリポジトリの種類によっては困難になる場合があります。
エンドポイントをカスタマイズする必要がある場合は、次のように URL を指定できます。
Java
Kotlin
http // ... .oidcLogout((oidc) -> oidc .backChannel((backChannel) -> backChannel .logoutUri("http://localhost:9000/logout/connect/back-channel/+{registrationId}+") ) );
http { oidcLogout { backChannel { logoutUri = "http://localhost:9000/logout/connect/back-channel/+{registrationId}+" } } }
セッションログアウト Cookie 名のカスタマイズ
デフォルトでは、セッションログアウトエンドポイントは JSESSIONID
Cookie を使用して、セッションを対応する OidcSessionInformation
に関連付けます。
ただし、Spring Session のデフォルトの Cookie 名は SESSION
です。
DSL で Spring Session のクッキー名を次のように設定できます。
Java
Kotlin
@Bean OidcBackChannelLogoutHandler oidcLogoutHandler(OidcSessionRegistry sessionRegistry) { OidcBackChannelLogoutHandler logoutHandler = new OidcBackChannelLogoutHandler(oidcSessionRegistry); logoutHandler.setSessionCookieName("SESSION"); return logoutHandler; }
@Bean open fun oidcLogoutHandler(val sessionRegistry: OidcSessionRegistry): OidcBackChannelLogoutHandler { val logoutHandler = OidcBackChannelLogoutHandler(sessionRegistry) logoutHandler.setSessionCookieName("SESSION") return logoutHandler }
OIDC プロバイダーセッションレジストリのカスタマイズ
デフォルトでは、Spring Security は、OIDC プロバイダーセッションとクライアントセッション間のすべてのリンクをメモリ内に保存します。
クラスター化されたアプリケーションなど、これをデータベースなどの別の場所に保存した方がよい状況は数多くあります。
これは、次のようにカスタム OidcSessionRegistry
を構成することで実現できます。
Java
Kotlin
@Component
public final class MySpringDataOidcSessionRegistry implements OidcSessionRegistry {
private final OidcProviderSessionRepository sessions;
// ...
@Override
public void saveSessionInformation(OidcSessionInformation info) {
this.sessions.save(info);
}
@Override
public OidcSessionInformation removeSessionInformation(String clientSessionId) {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
public Iterable<OidcSessionInformation> removeSessionInformation(OidcLogoutToken token) {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}
@Component
class MySpringDataOidcSessionRegistry: OidcSessionRegistry {
val sessions: OidcProviderSessionRepository
// ...
@Override
fun saveSessionInformation(info: OidcSessionInformation) {
this.sessions.save(info)
}
@Override
fun removeSessionInformation(clientSessionId: String): OidcSessionInformation {
return this.sessions.removeByClientSessionId(clientSessionId);
}
@Override
fun removeSessionInformation(token: OidcLogoutToken): Iterable<OidcSessionInformation> {
return token.getSessionId() != null ?
this.sessions.removeBySessionIdAndIssuerAndAudience(...) :
this.sessions.removeBySubjectAndIssuerAndAudience(...);
}
}