ADFS认证期间出现间歇性重定向循环

Question

ADFS认证期间出现间歇性重定向循环

c#.netasp.net-mvc-5owinws-federation

12

我正在使用Owin来配置我的ASP.NET MVC 5 (.NET 4.5, IIS 7/8) 应用程序，以便对第三方ADFS设置进行身份验证：

app.SetDefaultSignInAsAuthenticationType(WsFederationAuthenticationDefaults.AuthenticationType);

app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    AuthenticationType = WsFederationAuthenticationDefaults.AuthenticationType
});

app.UseWsFederationAuthentication(new WsFederationAuthenticationOptions
{
    Wtrealm = Settings.Auth.Wtrealm,
    MetadataAddress = Settings.Auth.MetadataAddress
});

我还有一个自定义的身份验证过滤器（与AuthorizeAttribute一起使用）：

public class OwinAuthenticationAttribute : ActionFilterAttribute, IAuthenticationFilter
{
    public void OnAuthentication(AuthenticationContext filterContext)
    {
        var user = filterContext.RequestContext.HttpContext.User;

        var authenticated = user.Identity.IsAuthenticated;
        if (!authenticated)
        {
            return;
        }

        /* Redirect to profile setup if not already complete */
    }

    public void OnAuthenticationChallenge(AuthenticationChallengeContext filterContext)
    {
    }
}

这个在一半的时间里可以正常工作，但有时，在初始登录时，应用程序和ADFS登录之间会出现重定向循环。这似乎是会话特定的（并非所有用户同时发生），一旦重定向循环发生，它似乎会一直持续到应用程序池刷新。

当重定向循环发生时，我仍然可以看到（在Chrome的网络选项卡中）ADFS发出的类似有效凭证的内容。

我很难分离根本原因，但我所找到的是 - 当循环不发生时，user.Identity的类型为ClaimsIdentity，IsAuthenticated为true。当它发生时，IsAuthenticated为false，但user.Identity的类型是WindowsIdentity。

IIS中除匿名以外的所有身份验证都已禁用。 IIS Express在任何地方都没有使用。

这可能是什么原因呢？

- Ant P

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Jamie · Accepted Answer

你使用session数据和TempData吗？我了解这与cookies有关。我也遇到同样的问题。

这里提供了更多信息和详细的原因解释。可以通过强制Owin使用System.Web的cookie管道（来自此处）来解决该问题：

public class SystemWebCookieManager : ICookieManager
{
    public string GetRequestCookie(IOwinContext context, string key)
    {
        if (context == null)
        {
            throw new ArgumentNullException("context");
        }

        var webContext = context.Get<HttpContextBase>(typeof(HttpContextBase).FullName);
        var cookie = webContext.Request.Cookies[key];
        return cookie == null ? null : cookie.Value;
    }

    public void AppendResponseCookie(IOwinContext context, string key, string value, CookieOptions options)
    {
        if (context == null)
        {
            throw new ArgumentNullException("context");
        }
        if (options == null)
        {
            throw new ArgumentNullException("options");
        }

        var webContext = context.Get<HttpContextBase>(typeof(HttpContextBase).FullName);

        bool domainHasValue = !string.IsNullOrEmpty(options.Domain);
        bool pathHasValue = !string.IsNullOrEmpty(options.Path);
        bool expiresHasValue = options.Expires.HasValue;

        var cookie = new HttpCookie(key, value);
        if (domainHasValue)
        {
            cookie.Domain = options.Domain;
        }
        if (pathHasValue)
        {
            cookie.Path = options.Path;
        }
        if (expiresHasValue)
        {
            cookie.Expires = options.Expires.Value;
        }
        if (options.Secure)
        {
            cookie.Secure = true;
        }
        if (options.HttpOnly)
        {
            cookie.HttpOnly = true;
        }

        webContext.Response.AppendCookie(cookie);
    }

    public void DeleteCookie(IOwinContext context, string key, CookieOptions options)
    {
        if (context == null)
        {
            throw new ArgumentNullException("context");
        }
        if (options == null)
        {
            throw new ArgumentNullException("options");
        }

        AppendResponseCookie(
            context,
            key,
            string.Empty,
            new CookieOptions
            {
                Path = options.Path,
                Domain = options.Domain,
                Expires = new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc),
            });
    }
}

然后进行连线：

app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    // ...
    CookieManager = new SystemWebCookieManager()
})