已经实现了基本的MVC表单身份验证,在注销时,我拥有明确的放弃会话,并且还发送了cookie(在设置了到期日期之后)作为响应。 问题是,如果用户有以前的cookie,他可以继续使用应用程序而不会受到邮递员的干扰。
FormsAuthentication.SignOut();
HttpContext.Current.Session.Abandon();
HttpCookie cookie1 = new HttpCookie(FormsAuthentication.FormsCookieName, "");
cookie1.Expires = DateTime.UtcNow.AddYears(-1);
HttpContext.Current.Response.Cookies.Add(cookie1);
我想防止用户一定使用应用程序。 他应该不能将应用程序与旧的Cookie一起使用,应该提示登录。
答案 0 :(得分:0)
Limitations of Forms Authentication at MSDN
调用SignOut方法只会删除表单身份验证cookie。 Web服务器不存储有效的和过期的身份验证票证以供以后比较。如果恶意用户获得有效的表单身份验证Cookie,这会使您的站点容易受到重放攻击