我正在使用MVC构建一个站点并使用DotNetOpenAuth。我让我的朋友在我的计算机上测试了我网站的登录流程。他使用了他的gmail帐户,但在他完成后,我去了gmail.com,它自动登录为他,因为他仍然对它进行了身份验证。
这似乎是一个非常大的安全问题。如果我在公共计算机上并登录使用OpenId的站点,我可能不一定意识到退出该站点有多重要,并且该站点甚至可能没有Log Out链接或正确实施了它。有没有办法,至少使用DotNetOpenAuth来验证用户,但不一定让他们“登录”他们的openid提供商?
答案 0 :(得分:1)
不,没有。也就是说,由每个OpenID提供商决定其用户的登录会话应该持续多长时间。大多数人倾向于使用标准会话cookie登录。
对此的一般解决方案是,当您的朋友在您的计算机上时,他不应该单击“记住我”并且应该在完成后关闭浏览器。这是确保所有网站完全注销的唯一方法。
答案 1 :(得分:0)
我只是在谷歌中唱歌,没有检查“保持登录状态”,关闭浏览器(Firefox,所有窗口和标签),当我再次打开它时,我仍然记录。为什么(根据公认的承诺)?
抱歉,暂无法发表评论。