我在C#ASP MVC Web应用程序中使用OWIN / OAuth与OpenId Connect身份验证(Microsoft.Owin.Security.OpenIdConnect).使用Microsoft帐户的SSO登录基本上可以工作,但是不时会在浏览器上显示错误请求 – 请求太长的错误页面.
我发现这个错误是由于太多的cookie造成的.删除Cookie可以帮助一段时间,但过了一会儿问题回来了.
导致问题的cookie是从OpenId框架设置的,所以有几十个cookie,名字叫OpenIdConnect.nonce.9oEtF53WxOi2uAw ……..
这不是SPA应用程序,但是某些部分会使用ajax调用定期刷新.
解决方法
原来,根本原因是Ajax调用.
有问题的流程是
1)OAuth cookie在一段时间后过期
2)到期通常会将页面重定向到login.microsoft.com来刷新cookie.在此步骤中,OAuth框架将新的nonce cookie添加到响应(每次)!
3)但是Ajax不处理域外的重定向(跨域到login.microsoft.com).但是cookie已经附加到页面.
4)下一次定期的Ajax电话重复,导致“nonce”cookie快速增加.
解
我不得不扩展“OWIN OpenId”框架设置代码,以不同方式处理Ajax调用,以防止重定向并停止发送Cookie.
public void ConfigureAuth(IAppBuilder app)
{
app.SetDefaultSignInAsAuthenticationType(CookieAuthenticationDefaults.AuthenticationType);
app.UseCookieAuthentication(new CookieAuthenticationOptions());
app.USEOpenIdConnectAuthentication(
new OpenIdConnectAuthenticationOptions
{
ClientId = clientId,Authority = authority,Notifications = new OpenIdConnectAuthenticationNotifications
{
RedirectToIdentityProvider = ctx =>
{
bool isAjaxRequest = (ctx.Request.Headers != null && ctx.Request.Headers["X-Requested-With"] == "XMLHttpRequest");
if (isAjaxRequest)
{
ctx.Response.Headers.Remove("Set-Cookie");
ctx.State = NotificationResultState.HandledResponse;
}
return Task.FromResult(0);
}
}
});
}
