通过OpenId进行身份验证，无需将用户签入提供商的网站

Question

我正在使用MVC构建网站并使用DotNetOpenAuth。我刚让我的朋友在我的电脑上测试我网站的登录流量。他使用了他的Gmail帐户，但完成后，我去了gmail.com，它自动以他的身份登录，因为他仍然对其进行了验证。

这似乎是一个相当大的安全问题。如果我在公用计算机上登录到使用OpenId的站点，我可能不一定意识到注销该站点有多重要，并且可能该站点甚至没有注销链接或无法正常使用实施它。有没有什么办法，至少在DotNetOpenAuth的认证用户，但不一定让他们“登录”到他们的openid提供商？

Answer 1

不，没有。也就是说，由每个OpenID提供商决定其用户的登录会话应持续多长时间。而大多数人倾向于使用标准会话cookie登录。

一般的解决方案是，当你的朋友在你的电脑上时，他不应该点击“记住我”，而应该在浏览器完成时关闭浏览器。这是确保完全注销所有网站的唯一方法。

Answer 2

我只是唱歌进入谷歌，没有检查“保持登录状态”，关闭浏览器（Firefox，所有窗口和标签），当我再次打开它时，我仍然记录下来。为什么（根据公认的answear）？

对不起，还不能评论。