我有MVC应用程序托管Azure并由Azure AD保护。我们使用OWIN中间件cookie身份验证和openidconnect方法进行Azure AD身份验证。我们有以下观察,这似乎是安全漏洞。
1)在Chrome浏览器中访问应用程序。 Azure AD身份验证重定向后,应用程序正常加载。到目前为止,将会有一个由OWIN创建的身份验证cookie,其名称为" .AspNet.Cookies"这是在内存cookie中,这意味着一旦浏览器关闭,cookie就会丢失。
2)现在复制cookie" .AspNet.Cookies"并关闭浏览器。在内存cookie被删除。但是,如果我们通过附加cookie向应用程序发起请求(使用fiddler的代理请求),则服务器接受cookie并加载应用程序。
这意味着,从一个浏览器会话生成的cookie可以与另一个浏览器会话重用。
这看起来像一个安全漏洞。有没有办法解决这个问题。或者我们缺少Azure AD上的任何设置?
任何输入都受到高度赞赏。
谢谢, Madhu