ADFS會話過期並導致錯誤

Question

我們將ADFS用於我們的內部應用程序 - 用戶基本上都會在透明地登錄到我們的某個應用程序中。但是，如果用戶開了一個網頁了一個多小時，然後嘗試做網頁上的東西（除了導航到另一個頁面），他們得到一個錯誤：

This page is accessing information that is not under its control. This poses a security risk. Do you want to continue?

好像在網頁正試圖將該請求重定向到ADFS服務器，並且瀏覽器正在阻止該請求。

我的問題是這樣的：我如何捕獲這種情況並讓用戶到ADFS服務器重新進行身份驗證？

我還沒有在Google上找到任何有關此問題的運氣。

Answer 1

您可以在global.asax中手動檢查並重新發出安全令牌，並使用它創建滑動會話。通過滑動會話，您可以選擇推遲重新驗證，直到它變爲「安全」（這樣做時（由於ADFS重定向而不再丟失數據）。

在SessionSecurityTokenReceived事件中，您可以評估令牌和請求。如果令牌已過期並且請求會經歷重定向導致的數據丟失，則可以重新發布新的「臨時」令牌。新的令牌應該有一個非常短的壽命，只要足夠長的時間，以便您可以安全地完成當前的請求。令牌將過期並在下一次請求時再次評估。

protected void SessionAuthenticationModule_SessionSecurityTokenReceived(object sender, SessionSecurityTokenReceivedEventArgs e) 
{ 
    var now = DateTime.UtcNow; 
    SessionSecurityToken token = e.SessionToken; 
    var httpContext = new HttpContextWrapper(this.Context); 

    if (now > token.ValidTo 
     && (httpContext.Request.IsAjaxRequest() || httpContext.Request.HttpMethod == "POST")) 
    { 
     var sessionAuthModule = (SessionAuthenticationModule)sender; 
     e.SessionToken = sessionAuthModule.CreateSessionSecurityToken(token.ClaimsPrincipal, 
                    token.Context, 
                    now, 
                    now.AddMinutes(2), 
                    token.IsPersistent); 
     e.ReissueCookie = true; 
    } 
} 

ADFS會話將繼續推遲重新認證，直到下一個GET請求。然後重定向最終會發生，並且用戶將被髮出正常壽命的正確標記。

Answer 2

更新：以下解決方案取決於iframe。 ADFS 3.0的X-Frame-Options默認爲DENY，無法更改設置。因此，此解決方案僅適用於早期的ADFS 2.1 &。

在你的global.asax.cs中，你會想要捕獲任何mid-AJAX 302s並將它們變成401 Unauthorized。這將阻止進行調用（並彈出該消息），並將發送給我們$（document）.ajaxError（）。

protected void Application_EndRequest() 
    { 
     var context = new HttpContextWrapper(this.Context); 
     if (context.Response.StatusCode == 302 && context.Request.IsAjaxRequest()) 
     { 
      context.Response.Clear(); 
      context.Response.StatusCode = 401; 
     } 
    } 

然後，在那裏，攔截任何401s，然後繼續進行其餘的錯誤處理。我選擇向用戶顯示一條消息。您可以在這裏執行下一步，但爲了便於閱讀，我將ajaxSettings對象發送給另一個函數。返回true，以便它不會繼續進行其他錯誤處理。

如果要重新檢查這是ADFS，event.target.referrer將具有嘗試重定向的URL。

$(document).ajaxError(function (event, jqXHR, ajaxSettings, thrownError) { 
    if (xhr.status == 401) { 
     alert("Your session has timed out. Click OK to reauthorize and extend your session."); 

     TriggerReauthenticationRefresher(ajaxSettings); 
     return true; 
    } 
…the rest of the error handling code…    
}); 

我在我的頁面的空div只是針對這種情況，與「refresherBox」的ID，但你可以做到這一點DOM中的任何元素。把一個iframe放到你的域中的某個虛擬頁面上。就我而言，ADFSRefresher.cshtml的內容都只是

<div><input type="hidden" value="@DateTime.Now.ToString()" /></div> 

而不是使用全局變量，我使用。數據（）存儲ajaxSettings。我們還需要跟蹤iframe重新加載的次數，因此我們還要存儲loadcount。將iframe插入到DOM中，它會啓動。

function TriggerReauthenticationRefresher(ajaxSettings) { 
    var refreshframe = '<iframe src="@Url.Action("ADFSRefresher", "Debug")" style="display:none" onload="TrackFrameReloads()" />'; 

    $('#refresherBox').data('loadcount', 0); 
    $('#refresherBox').data('originalRequestSettings', ajaxSettings); 

    $('#refresherBox').html(refreshframe); 
} 

每當iframe加載完成時，TrackFrameReloads都會觸發。由於我們知道即將發生的ADFS重定向，它將會啓動兩次。第一次是重定向，第二次是到它的src url。所以第一次啓動時，我們只是增加loadcount。

第二次觸發，我們知道我們已經成功重新認證。檢索ajaxSettings，清除存儲的數據，然後可以重新使用原始設置發送AJAX調用！它將通過，不重定向，並運行其原始成功&完整的功能。

function TrackFrameReloads() { 
    var i = $('#refresherBox').data('loadcount'); 
    if (i == 1) { 
     alert('Your session has been extended.'); 

     var ajaxSettings = $('#refresherBox').data('originalRequestSettings'); 

     $('#refresherBox').removeData(); 

     $.ajax(ajaxSettings); 

    } else { 
     $('#refresherBox').data("loadcount", 1); 
    } 
} 

請注意，如果您定義了它們，則錯誤和完整函數已經被觸發。

如果您願意，您可以跳過兩條警報消息給用戶。根據您的ADFS設置，這應該只需要1秒鐘，並且用戶不必被通知任何這發生！