point final de déconnexion permet de rediriger vers une URL arbitraire dans Keycloak

Comme il n'y a pas clientId dans la demande de fermeture de session, il est impossible de valider l'URL contre la liste du client valide Redirect URIs, permettant ainsi la redirection vers une URL arbitraire: https://idserver/auth/realms/realm/protocol/openid-connect/logout?redirect_uri=http%3A%2F%2Fattackers.website point final de déconnexion permet de rediriger vers une URL arbitraire dans Keycloak

Existe-t-il une solution de contournement pour ce problème ou doit-il être une correction de code? Je vous remercie.

Source

2017-06-21 Maria Pavlova

Vous pouvez (et devez) enregistrer "URI de redirection valide" pour chaque client dans le domaine. Si vous ne le spécifiez pas et que vous spécifiez "*" pour autoriser n'importe quelle URL, la chose que vous décrivez se produira exactement. Essayez la déconnexion avec le domaine "master" (avec la configuration initiale): Vous obtiendrez le message d'erreur "Invalid redirect uri".

Source

2017-06-24 20:23:12 ahus1

Ce qui précède a fonctionné, merci beaucoup! –

Heureux que cela a fonctionné. N'hésitez pas à accepter la réponse :-) – ahus1

point final de déconnexion permet de rediriger vers une URL arbitraire dans Keycloak

Répondre

Questions connexes