在2021年进行外部提供商登录的正确方式是什么？ [英] What is the correct way to do external provider logins in 2021?

问题描述

我的项目使用Azure AD登录(https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-v2-aspnet-core-webapp)。

我可能配置错误，但这对Safari不起作用，可能是因为SameSite Cookie问题。

您可以Google；Samesite Safari；或&Safari无限循环登录，然后向其中添加ASP.NET核心，并找到大量资源，告诉您通过将Cookie更改为使用SameSite None来修复此问题，以便Safari可以登录。

但这里是这样说的：

默认的MinimumSameSitePolic值为SameSiteMode.Lax以允许OAuth2身份验证。

https://docs.microsoft.com/en-us/aspnet/core/security/authentication/cookie?view=aspnetcore-5.0。

这在我看来不太对劲，因为我当前使用的是安全的、仅宽松的http，而且在Safari中不能很好地工作。

我为此而抓狂。在2021年使用Cookie进行外部提供商登录的正确方式是什么？

推荐答案

这里有几种不同的Cookie场景，下面解释标准设置。Cookie比乍看起来复杂得多。

授权服务器

Azure AD将对用于跨应用单点登录的SSO Cookie使用以下设置：

• 仅限HTTP
• 安全
• SameSite=无

基于网站的应用程序临时登录Cookie

.NET将在登录重定向之前发出包含状态参数的临时Cookie。这可能是导致您出现问题的原因-它应该有这些设置-严格将被删除：

• 仅限HTTP
• 安全
• SameSite=Lax

然后，将对照临时登录Cookie中的值验证浏览器的OAuth响应中的状态值。一旦验证通过，该应用程序就会发布自己的身份验证Cookie。

基于网站的app-Auth Cookie

您的.Net Web应用程序将在处理OAuth响应后发布其自己的Auth Cookie。理想情况下，您希望使用以下设置：

• 仅限HTTP
• 安全
• SameSite=严格

丢失Cookie的几个已知原因：

• 在开发人员PC上使用HTTP URL意味着您需要在应用程序中设置SECURE=FALSE

• 使用在您计算机的Hosts文件-Safari中配置的假装主机名(如example.local)需要Internet后缀，如.com。

• Cookie是加密的，解密失败是基于网站的应用中重定向循环的常见原因-当.Net尝试处理临时登录Cookie时可能会发生这种情况。

• 如果您的Auth Cookie使用SameSite=Stright，然后从电子邮件链接导航回您的应用程序，则Auth Cookie将被删除，从而导致新的OAuth重定向。这导致一些公司降级至SameSite=Lax。

单页应用

SPA可以使用Back End for Front End模式，以便只有在AJAX请求期间才需要安全Cookie。

这意味着应用程序永远不会受到导航问题的影响，因为Web请求永远不需要Cookie--它们只需要API请求。在此模型中，只有数据请求需要保护。

我的Quick Start Page上的SPA使用此选项，并且在Safari中运行良好。

这篇关于在2021年进行外部提供商登录的正确方式是什么？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！