2
当您登录到Identityserver时,身份验证Cookie idsrv存储在浏览器中。当用户注销时,Cookie将被删除。但是,即使用户已注销,攻击者也可以窃取cookie并实质上使用它。联合身份验证和会话管理
对许多身份提供者来说,这似乎也是“正常”行为。
问题
它是公认的行为?
是否有无法检测到用户已注销并且idsrv cookie值(令牌)不再有效?我们是否应该例如实现IAuthenticationSessionValidator来跟踪已注销的用户?或者这是通过使用id_token session_state声明属于应用程序的东西?
这张票是否与您的问题相关? https://github.com/IdentityServer/IdentityServer3/issues/2921 – Arve
不。有两个cookie存储在我的应用程序中,一个存储在idsrv中。如果我将idsr中的cookie复制并注销,然后集中调用idsr endsession端点,则我已注销,并且看到cookie被删除,然后我可以将cookie粘贴到idsr中,例如使用编辑cookie重新登录。我相信会话id(也许是id_token sid声明)应该绑定到存储在cookie中的令牌,并且应该进行验证。这通常由.NET会话管理中的框架来处理。但对我来说,似乎在向联合认证迈进时,它已被遗忘。 – jhougen