如何在服务器端删除/禁用会话cookie,以便无法使用被盗的cookie登录?
这是我的登录代码:
var claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(claims, "Forms"));
var sessionToken = new SessionSecurityToken(claimsPrincipal);
FederatedAuthentication.SessionAuthenticationModule.WriteSessionTokenToCookie(sessionToken);
HttpContext.Current.User = claimsPrincipal;
Thread.CurrentPrincipal = claimsPrincipal;
这是我的注销代码:
FederatedAuthentication.SessionAuthenticationModule.SignOut();
HttpContext.Current.User = null;
Thread.CurrentPrincipal = null;
答案 0 :(得分:0)
您可以添加基于时间的声明,该声明可以在服务器上在两个请求之间进行验证,并提供身份验证后提供的请求验证令牌,并存储在内存或隐藏字段中。