什么是 Web 应用中的 federated logout

我们在 SAP UI5 应用的源代码里能看到所谓的 federated logout：

“Federated Logout” 是一种身份验证和授权的安全机制，它允许用户在一个系统中注销，同时在所有与之关联的系统中实现注销操作。在Web前端应用开发中，这种机制对于维护用户身份的一致性和安全性至关重要。

在理解 federated logout 之前，让我们先了解一下什么是单点登录（Single Sign-On，简称SSO）。SSO 允许用户通过一次登录在多个系统之间进行访问，而不需要在每个系统中都输入一次用户名和密码。SSO 的实现通常使用了一种称为令牌（token）的机制，用户一旦成功登录，就会得到一个令牌，然后可以在其他系统中使用这个令牌来获取访问权限。

然而，SSO 带来了一个新的问题：如果用户在一个系统中注销，其他系统如何知道并同步注销用户呢？这就是 federated logout 发挥作用的地方。Federated logout 通过在各个系统之间共享注销信息，确保用户在一个系统中注销后，其他系统也能及时生效。

在前端开发中，实现 federated logout 通常需要考虑以下几个方面：

1. Token 吊销（Token Revocation）： 当用户在一个系统中注销时，需要通知认证服务器撤销与该用户相关的令牌。这可以通过 OAuth 2.0 中的 Token Revocation Endpoint 来实现。

2. 前端会话管理： 在前端应用中，需要确保在用户注销时清除本地存储的令牌信息，以及任何与用户相关的会话状态。

3. 通知其他系统： 一旦用户在一个系统中注销，需要通知其他系统撤销用户的访问权限。这通常涉及到与其他系统之间建立一种通信机制，以传递注销事件。

4. 处理异步注销： 由于网络延迟等原因，注销操作可能是异步的，因此前端应用需要能够处理异步注销带来的状态同步问题。

现在让我们通过一个简单的场景来说明 federated logout 的工作流程。假设有一个使用 OAuth 2.0 的单点登录系统，其中包括一个前端应用 A 和一个前端应用 B。

1. 用户通过前端应用 A 登录，认证服务器返回一个令牌。

2. 用户在前端应用 A 中执行注销操作。前端应用 A 向认证服务器发起注销请求，同时清除本地存储的令牌信息。

3. 认证服务器吊销用户的令牌，并通知其他注册的系统，包括前端应用 B。

4. 前端应用 B 接收到注销通知后，也清除本地存储的令牌信息，确保用户在前端应用 B 中的注销状态。

这样，通过 federated logout 机制，用户在一个系统中的注销操作会在所有与之关联的系统中同步生效，保障了用户身份的一致性和安全性。

在实际开发中，不同的认证和授权机制可能会有一些细微的差异，但 federated logout 的核心思想是确保用户在一个系统中的注销操作能够影响到所有与之关联的系统，从而提供一种全局的注销机制。这对于大型单点登录系统和跨系统协作的应用场景尤为重要。