注销时OWIN身份验证Cookie不会无效

时间:2018-08-09 12:24:03

标签: authentication cookies owin

问题: 先前用户会话中的OWIN身份验证cookie值可以在新用户会话中重新使用。

场景: 管理员用户成功登录到应用程序,然后离开计算机。具有较低特权的恶意用户将复制“ .aspnet.cookies” cookie的值,并使用其自己的凭据登录,并将身份验证cookie的值替换为从管理员用户的会话中获取的值。

结果:因此,具有较低特权的用户可以访问管理员的功能。

要注销用户,我使用OwinContext.SignOut()

请告知如何正确使身份验证cookie无效?

0 个答案:

没有答案