在this post中,讨论了B2C中的多个策略以保护不同的端点,从而迫使某人再次登录以获取更敏感的资源。
这听起来很棒,并在this SO post中得到了回应,其中提供了Facebook或Google的示例。
我尝试过这样做,在一个控制器上设置两个可接受的策略,在另一个控制器上设置一个策略。
如果您选择的策略和登录安全性较低的页面,然后您选择具有更安全策略的其他页面,则会要求您再次登录。到目前为止,非常好。
但是现在cookie包含来自安全策略的短期到期,因此即使您的原始安全性较低的cookie仍然有效,您也会被要求在Cookie过期后再次登录。并且在更安全的cookie的短暂间隔之后,您会反复登录。
如何告诉它切换回使用仍然有效的旧cookie(如果它仍然存在)?
我一直在考虑这个问题,而且我不确定更好的方法是检查授权政策中的issued at声明,看它是否足够近,以及是否不,未经授权返回,以便他们被迫再次登录。他们会在此时获得另一个长期存在的令牌,并提出新的issued at声明,并且他们可以在网站上的任何位置使用。
有什么想法吗?
TIA