HttpContext.Authentication.SignOutAsync löscht das Authentifizierungs-Cookie nicht

Question

Laut ASP.NET Core documentation muss die Methode HttpContext.Authentication.SignOutAsync() das Authentifizierungs-Cookie ebenfalls löschen.

Abmelden

Um den aktuellen Benutzer abzumelden, und löschen ihre Cookies (Hervorhebungen von mir - AC) in Ihrem Controller die folgenden nennen

await HttpContext.Authentication.SignOutAsync("MyCookieMiddlewareInstance");

Aber das tut es nicht! Alles andere scheint in Ordnung, vor allem. Authentifizierungsschema, weil der Benutzer korrekt angemeldet wird und der Cookie .AspNetCore. geschaffen.

Irgendwelche Ideen, warum Cookie nach dem Aussprechen des Benutzers bleibt?

Answer 1

Hier ist der Code, der das Cookie löscht (Wenn nichts anderes hilft, benutzen Brute-Force):

await this.HttpContext.Authentication.SignOutAsync(<AuthenticationScheme>); 

// ... 

var cookie = this.Request.Cookies[<CookieName>]; 
if (cookie != null) 
{ 
    var options = new CookieOptions { Expires = DateTime.Now.AddDays(-1) }; 
    this.Response.Cookies.Append(cookieName, cookie, options); 
} 

Bad, schlecht, schlecht! Scheint wie ein sehr hässlicher Patch! Aber funktioniert ... :(

Alle andere Lösungen

Answer 2

ich das gleiche Problem haben SignOutAsync funktioniert nicht wie sollte

Ich fand diese:..

Answer 3

Ich löste das Problem mit dem Löschen meiner Website-Cookies mit dem folgenden Ausschnitt in meiner Logout() -Methode in der Steuerung.Ich fand, dass mehrere Cookies würde von meiner Seite erstellt werden.

// Delete the authentication cookie(s) we created when user signed in 
      if (HttpContext.Request.Cookies[".MyCookie"] != null) 
      { 
       var siteCookies = HttpContext.Request.Cookies.Where(c => c.Key.StartsWith(".MyCookie")); 
       foreach (var cookie in siteCookies) 
       { 
        Response.Cookies.Delete(cookie.Key); 
       } 
      } 

Und in Startup.cs:

app.UseCookieAuthentication(new CookieAuthenticationOptions() 
      { 
       AuthenticationScheme = "Cookies", 
       LoginPath = new PathString("/Account/Login/"), 
       AccessDeniedPath = new PathString("/Home/Index/"), 
       AutomaticAuthenticate = true, 
       AutomaticChallenge = true, 
       CookieName = ".MyCookie" 
      }); 

Beachten Sie, dass ich nicht await HttpContext.Authentication.SignOutAsync("MyCookieMiddlewareInstance"); verwenden, da ich mit Google verwenden OpenIdConnect.

Answer 4

Sie schreiben nicht genug Code zu sagen, aber ich vermute, nachdem Sie rufen SignOutAsync Sie haben irgendeine Art von Redirect (zB RedirectToAction), die die Umleitung auf die OIDC EndSession URL überschreibt, dass SignOutAsync versucht Ausgabe zu.

(Die gleiche Erklärung für die Umleitung überschreibt Problem wird here von Microsofts Haok gegeben.)

Edit: Wenn meine Spekulation über richtig ist, ist die Lösung eine Redirect-URL in einem AuthenticationProperties Objekt mit den endgültigen SignOutAsync senden :

// in some controller/handler, notice the "bare" Task return value 
public async Task LogoutAction() 
{ 
    // SomeOtherPage is where we redirect to after signout 
    await MyCustomSignOut("/SomeOtherPage"); 
} 

// probably in some utility service 
public async Task MyCustomSignOut(string redirectUri) 
{ 
    // inject the HttpContextAccessor to get "context" 
    await context.SignOutAsync("Cookies"); 
    var prop = new AuthenticationProperties() 
    { 
     RedirectUri = redirectUri 
    }); 
    // after signout this will redirect to your provided target 
    await context.SignOutAsync("oidc", prop); 
}