我需要确保 post_logout_redirect_uri 只能将用户定向到列入白名单的 URI,因此根据Azure AD B2C 中的答案容易受到开放重定向的影响?我添加了
SingleSignOn Scope="Tenant" EnforceIdTokenHintOnLogout="false"
到我们的signin_signup自定义策略中ReplyingParty的UserJourneyBehaviors部分。但是,当登录时出现错误
AADB2C90272:请求中未指定 id_token_hint 参数。请提供令牌并重试。
当我阅读微软的文档时,它指出
将先前颁发的 ID 令牌传递到注销端点,作为有关最终用户当前与客户端进行身份验证的会话的提示
但是,用户尚未登录,因此他们还没有颁发 ID 令牌以供通过,并且在收到此错误后不允许他们登录。
我尝试在应用程序的“身份验证”选项卡中启用“ID 令牌(用于隐式和混合流)”选项,但这没有用,因为第一次重定向到 Azure AD B2C 会添加 post_logout_redirect_uri 参数。
我还尝试设置PostLogoutRedirectUri为空字符串、null 和之前登录的 JWT 令牌,OpenIdConnectAuthenticationOptions因为它似乎是在重定向到signin_signup 中生成 post_logout_redirect_uri 的地方,但也无济于事。
id_token_hint 应该是从 Azure AD B2C 返回的 JWTToken 还是另一个 ID 令牌?有没有人有任何 C# 代码显示如何传递它?