从应用程序注销时,我们面临问题。一旦我们注销,它就可以很好地从浏览器中注销,但是如果我们从某些工具(文件收集器或burp)捕获请求,然后使用旧的Cookie将请求再次发送到服务器,则会话详细信息将给出完整的响应。这只能通过任何拦截器工具来实现。我正在使用以下代码从应用程序注销:
Session.RemoveAll();
HttpContext.GetOwinContext().Authentication.SignOut(OpenIdConnectAuthenticationDefaults.AuthenticationType,
CookieAuthenticationDefaults.AuthenticationType);
答案 0 :(得分:0)
之所以发生这种情况,是因为从应用程序启动注销时,不会删除Azure AD发出的price和access token。只要这些令牌没有过期,就可以使用它们。
基于this,访问令牌的生存期是可配置的(我相信默认值为1小时),您应该根据需要进行设置。
此外,还有一个有关使令牌无效的反馈帖子:https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/19474918-invalidate-jwt-token。随时支持此功能。