我已经使用Identity Server 4,Angular 8客户端和ASP.NET Web API实现了带有代码交换证明密钥(PKCE)的授权代码流。我这样做的方法是遵循快速入门here。它也在使用无提示刷新。
快乐流程起作用:用户可以登录;并且如果他明确地登录或关闭了浏览器;会议结束,他需要再次登录。
在某些情况下,这种情况不会发生;更具体地说,如果选择了Chrome或Firefox中的“记住我离开的地方” 选项。在这种情况下,浏览器只需记住会话,并且如果用户在数小时或数天后启动浏览器,他仍将登录到该站点。由于该网站将在共享计算机上使用,因此如果用户未明确注销,则这是一个潜在的安全问题。
我对如何处理此案有些疑惑。我希望会话始终在关闭浏览器时结束。有人可以为我指出如何使用Identity Server 4实现这一目标的正确方向吗?
答案 0 :(得分:1)
您可以采取一些措施来解决此问题: