当前位置 : 主页 > 网页制作 > HTTP/TCP >

OWIN和Azure AD HTTPS到HTTP重定向循环

来源:互联网 收集:自由互联 发布时间:2021-06-16
我是OWIN的新手:).我试图让一个页面有一个开放的公共区域,允许匿名通过HTTP,然后是一个需要身份验证的受限制的部分.我不想强制整个网站成为普通用户的HTTPS. 我遇到的问题是我收到以
我是OWIN的新手:).我试图让一个页面有一个开放的公共区域,允许匿名通过HTTP,然后是一个需要身份验证的受限制的部分.我不想强制整个网站成为普通用户的HTTPS.

我遇到的问题是我收到以下循环:

> http://example.com/authenticatedPage – > 302重定向到AD登录
>登录到AD页面HTTP 200.触发打开Azure AD链接到站点.
>链接到站点标识这是一个OWIN重定向并执行302重定向到http://example.com/authenticatedPage
>转到1.

我尝试了3种拦截OWIN重定向的方法,但似乎没有任何效果.

如果我通过浏览到https://example.com/开始会话,然后单击指向authenticatedPage的链接,然后登录按预期工作.即

>加载https://example.com/authenticatedPage – > 302重定向到AD
>登录AD – >加载https://example.com/
> 302重定向到https://example.com/authenticatedPage

无论如何要解决这个问题而不将整个网站标记为需要SSL吗?

问题是您的应用程序中的OIDC中间件设置的引荐来源.这是怎么回事:

>在http://foo.bar输入您的应用程序并重定向到身份提供商
> IDP / AD根据配置的返回URI重定向到https://foo.bar
> Cookie由OIDC中间件设置,带有安全标志,因此仅适用于HTTPS
>中间件重定向到引用URL,即HTTP
> Cookie未在HTTP上设置,因此返回步骤1.

有多种解决方案,例如仅强制执行SSL,重载Authorize属性以及将CookieSecure标志设置为CookieSecureOption.Never(不要这样做).

我更喜欢的选项是将Referrer固定在中间件本身中:

app.UseOpenIdConnectAuthentication(new OpenIdConnectAuthenticationOptions
{
    Authority = ...
    ClientId = ...
    RedirectUri = "https://foo.bar"
    ResponseType = "id_token",
    Scope = "openid profile",      
    SignInAsAuthenticationType = "Cookies",

    // Deal with the returning tokens
    Notifications = new OpenIdConnectAuthenticationNotifications
    {
        AuthorizationCodeReceived = async n =>
        {
            // Enforce the reference/redirect to be HTTPS
            var builder = new UriBuilder(n.AuthenticationTicket.Properties.RedirectUri);
            builder.Scheme = "https";
            builder.Port = 443;
            n.AuthenticationTicket.Properties.RedirectUri = builder.ToString();
        }
    }
});

这样做是将Referrer URL上的HTTP重写为HTTPS.这样,如果用户在HTTP上输入应用程序,他将在使用后自动重定向到HTTPS版本.

上一篇:JMeter的.从beanshell预处理器获取当前的HTTP sampler正文数据
下一篇:Go HTTP Handler中的简单竞争条件 – 这真的是竞争条件吗?
网友评论
相关栏目
最近更新
热门文章