ASP.NET中是否有内置支持以防止在用户注销后使用身份验证票据?
我有一个使用ASP.NET构建的网站。用户登录后,将向用户发送FormsAuthenticationTicket,该用户将保留在浏览器中,直到用户注销为止(在注销时,服务器会告知客户端删除cookie)。
我的问题是,即使用户退出并且从网络浏览器中删除了cookie,已经能够拦截cookie的人也可以继续使用它,直到它过期。我确实使用HTTPS,但这并不妨碍中间的可信代理访问数据。
我目前使用的是ASP.NET v5,并且无法找到任何内置支持来防止这种情况发生。我还尝试在VS2017中创建一个新的ASP.NET Core项目,但我在那里看到了同样的问题(使用Fiddler拦截的cookie可以在注销后重用)。
我可以将自定义用户数据存储在令牌中,并实现我自己的持久性存储,以跟踪"有效的身份验证令牌"。但是我想知道是否有一些内置的方法可以实现它,这是我没见过的。