AWS Amplify 6 中单点登录(SSO)的登出问题分析与解决方案

问题背景

在使用AWS Amplify 6构建的Angular应用中，当采用Cognito托管UI作为登录方式并实现单点登录(SSO)功能时，开发者遇到了一个典型的登出问题。具体表现为：当用户从主应用(App1)登出时一切正常，但从关联应用(App2)登出时，虽然Cookie中的认证信息被清除，但页面不会自动跳转，且刷新后仍能自动登录。

技术原理分析

这个问题的根源在于Amplify 6的认证机制与单点登录实现方式的变化。在Amplify 5中，SSO的实现相对简单，但在Amplify 6中引入了更严格的OAuth流程控制：

1. oauthSignIn标志：Amplify 6会在localStorage中设置一个CognitoIdentityServiceProvider.CLIENT_ID.oauthSignIn标志，用于标识用户是否通过OAuth流程登录。这个标志只在发起登录的应用(App1)中设置，关联应用(App2)中不会自动设置。

2. 跨域限制：Amplify 6新增了对OAuth流程的origin检查，防止跨站请求伪造(CSRF)攻击。当从App2发起登出时，由于origin与初始登录的App1不同，会导致登出流程中断。

3. Cookie存储机制：虽然使用了跨域共享的Cookie存储认证令牌，但OAuth流程的状态管理仍依赖于localStorage，这造成了状态不一致。

解决方案

临时解决方案

在Amplify 6.4.4版本之前，开发者可以采用以下临时方案：

1. 手动设置oauthSignIn标志：

localStorage.setItem(
  `CognitoIdentityServiceProvider.${environment.cognitoAppClientId}.oauthSignIn`,
  'true,false'
);

2. 使用beta版本的特殊配置：

signOut({ 
  global: true,
  oauth: {
    redirectSignOut: 'https://app1.dev.mydomain.com/login'
  }
});

正式解决方案

Amplify团队在6.6.2版本中彻底解决了这个问题，主要改进包括：

1. 自动同步oauthSignIn状态：现在Amplify会自动在所有关联应用中设置正确的OAuth登录状态。

2. 灵活的登出重定向配置：支持在登出时动态指定重定向URL，不再受限于初始配置。

3. 跨域状态管理优化：改进了跨应用的状态同步机制，确保SSO流程的完整性。

最佳实践建议

1. 统一配置：确保所有关联应用使用相同的Cognito配置（userPoolId、userPoolClientId等）。

2. Cookie配置：正确设置跨域Cookie参数，特别是domain属性应包含父域名：

cookieStorage: {
  domain: '.mydomain.com',
  path: '/',
  expires: 1,
  sameSite: 'strict',
  secure: true
}

3. 版本升级：建议升级到Amplify 6.6.2或更高版本，以获得最稳定的SSO体验。

4. 错误处理：在登出逻辑中添加完善的错误处理：

signOut({ global: true })
  .then(() => {
    // 处理成功登出
  })
  .catch((err) => {
    console.error('登出失败:', err);
    // 备用登出方案
    signOut();
  });

总结

AWS Amplify 6对认证流程的安全改进虽然初期带来了一些兼容性问题，但通过团队的快速响应，现在已经提供了完善的单点登录解决方案。开发者应当及时升级到最新版本，并遵循推荐的最佳实践，以确保多应用间的无缝认证体验。理解Amplify的认证流程和状态管理机制，有助于快速排查和解决类似的身份验证问题。