我们调用Request.GetOwinContext()。Authentication.SignOut();删除cookie。在此线程上有对此的引用:OWIN - Authentication.SignOut() doesn't seem to remove the cookie。
发布上述呼叫后,我将Session.Abandon()称为用户注销过程的一部分。
似乎删除了浏览器cookie,但是,如果我使用OWIN cookie重播先前的请求,我仍然可以访问应用程序中的页面/资源。
我期望它会出错,因为Session.Abandon()会删除该会话,因此即使OWIN cookie跨发送,它也无法使用该会话。
还有其他我想念的东西吗?