标签: authentication cookies owin
问题: 先前用户会话中的OWIN身份验证cookie值可以在新用户会话中重新使用。
场景: 管理员用户成功登录到应用程序,然后离开计算机。具有较低特权的恶意用户将复制“ .aspnet.cookies” cookie的值,并使用其自己的凭据登录,并将身份验证cookie的值替换为从管理员用户的会话中获取的值。
结果:因此,具有较低特权的用户可以访问管理员的功能。
要注销用户,我使用OwinContext.SignOut()
OwinContext.SignOut()
请告知如何正确使身份验证cookie无效?