当您登录Identityserver时,身份验证cookie idsrv将存储在浏览器中。当用户注销时,cookie将被删除。但是,即使用户已经注销,攻击者也可以窃取cookie并基本上使用它。
这似乎是"正常"许多身份提供者的行为。
问题
是否接受行为?
是否有检测到用户已注销并且idsrv cookie值(令牌)不再有效?我们应该例如实现IAuthenticationSessionValidator来跟踪已注销的用户吗?或者这是应该属于应用程序的东西,使用id_token session_state声明?
答案 0 :(得分:0)
根据OWASP ASVS要求3.2 Sessions should be invalidated on user logout,在退出应用程序后不应该使用相同的cookie。如果使用其他身份提供程序(如ADFS和AAD)也是如此。