已解決430363個問題，去搜搜看，總會有你想問的

有沒有辦法清除服務器端 OWIN/身份驗證數據？

首頁猿問有沒有辦法清除服務器端...

有沒有辦法清除服務器端 OWIN/身份驗證數據？

qq_花開花謝_0 2022-11-21 20:11:44

在最近的安全掃描之后，信息安全團隊表示他們不喜歡這樣的事實，即他們可以保存 .AspNet.ApplicationCookie 值，然后再次使用它允許用戶訪問該站點。閱讀之后，我明白這是標準行為，但我必須找到一種方法在用戶注銷時完全終止會話。我的理解有點薄，所以我的搜索很少。有辦法解決這個問題嗎？

查看完整描述

1 回答

開滿天機

TA貢獻1786條經驗獲得超13個贊

遲到的回復，但對于遇到此問題的人：

我們通過添加一個驗證指紋的自定義屬性來處理這個問題。我們將該屬性用于登錄后的任何頁面。

以下是如何實現這一目標的粗略示例。

指紋在登錄時創建并添加到緩存中：

private void OwinSignIn(tblUser user)

{

var thumbPrint = Guid.NewGuid();

var claims = new List<Claim>

{

....

new Claim(ClaimTypes.Thumbprint, thumbPrint.ToString())

};

MemoryCache.Default.Set(thumbPrint.ToString(), true, new CacheItemPolicy() { AbsoluteExpiration = DateTimeOffset.Now.AddMinutes(60) });

}

該屬性然后查找此指紋并相應地執行操作：

public class ValidateThumbprint : FilterAttribute, IAuthorizationFilter

{

public void OnAuthorization(AuthorizationContext filterContext)

var identity = (ClaimsIdentity)filterContext.HttpContext.User.Identity;

var thumbPrint = identity.Claims?.Where(s => s.Type == ClaimTypes.Thumbprint).First().Value;

if (thumbPrint != null)

{

if (MemoryCache.Default.Contains(thumbPrint))

{

return;

}

// handle invalid thumbprint

}

我不確定這是否是最好的方法和最安全的方法，但它確實會阻止在注銷后保存和重新使用 cookie。

反對回復 2022-11-21

1 回答
0 關注
117 瀏覽

關注

添加回答

舉報

0/150

提交

取消

亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

熱搜

最近搜索清空

有沒有辦法清除服務器端 OWIN/身份驗證數據？

有沒有辦法清除服務器端 OWIN/身份驗證數據？

1 回答

添加回答

有沒有辦法清除服務器端 OWIN/身份驗證數據？