Как заставить ADAL проверять имя пользователя перед использованием кэшированных учетных данных для входа пользователя в приложение
У меня есть приложение ASP.NET MVC, которое использует Azure Active Directory для аутентификации. Все работает отлично, кроме этого сценария.
- Запустите приложение и войдите в систему, используя [email protected], пользователь будет аутентифицирован, и отобразится домашняя страница приложения.
- Закрыть браузер (выход из системы не реализован)
- Снова запустите приложение и нажмите «Войти» как другой пользователь.
- Введите имя пользователя как [email protected] — этот пользователь является поддельным и не существует.
Ожидаемое поведение: некоторая ошибка, говорящая о том, что пользователь не существует или не удалось войти в систему.
Поведение приложения: по умолчанию входит в систему [email protected] без проверки введенного нового имени пользователя.
Примечание. Portal.azure.com работает так же.
Вопрос. Есть ли способ изменить это поведение, чтобы имя пользователя проверялось или аутентифицировалось перед использованием кэшированного токена.
Спасибо
Ответы 1
Это предусмотрено дизайном. Мы не обращаемся к AAD для проверки подлинности каждый раз, кэшированные учетные данные, используемые в качестве токенов/файлов cookie, которые клиент получил во время первоначального входа в систему, достаточно хороши для получения доступа к ресурсам.
Есть два способа достичь того, что вы ищете
1) Реализовать выход (осуществимое и оптимальное решение)
2) Внедрите фильтр аутентификации и примените его на глобальном уровне, поэтому для каждого запроса он должен проверять токен и имя пользователя, предоставленные пользователем.
Надеюсь, поможет.