Nit*_*mus 6 asp.net authentication cookies logout
ASP.NET 中是否有内置支持来防止用户注销后使用身份验证票证?
我有一个使用 ASP.NET 构建的网站。用户登录后,FormsAuthenticationTicket 会发送给用户,并保留在浏览器中,直到用户注销(注销时,服务器告诉客户端删除 cookie)。
我的问题是,即使在用户注销并且 cookie 从网络浏览器中删除后,能够拦截 cookie 的人也可以继续使用它,直到它过期。我确实使用 HTTPS,但这并不能阻止中间受信任的代理访问数据。
我目前使用的是 ASP.NET v5,找不到任何内置支持来防止这种情况发生。我还尝试在 VS2017 中创建一个新的 ASP.NET Core 项目,但我在那里看到了同样的问题(使用 Fiddler 拦截的 cookie 可以在注销后重用)。
我可以将自定义用户数据存储在令牌中,并实现我自己的持久性存储来跟踪“有效的身份验证令牌”。但我想知道是否有一些我没有见过的内置方法可以实现它。
| 归档时间: |
|
| 查看次数: |
458 次 |
| 最近记录: |