此Security.StackExchange answer解释了为什么以及何时需要使当前会话令牌无效。我的问题是:如何通过ASP.NET Identity 2使会话令牌无效?
以下是引用答案的相关引用。最初的问题是,在新用户注册期间,电子邮件验证(通过点击发送到用户提供的电子邮件地址的电子邮件中的链接)是否应该进行基于密码的登录。
当用户进入注册过程的第一步时,您应该使会话令牌无效并生成一个新令牌。这将确保如果会话被修复,则攻击者无法再登录该会话。如果您希望他们的额外安全性再次输入他们的密码,那么您必须在第一步刷新会话令牌并且一旦确认链接被跟踪。