有没有办法清除服务器端 OWIN/身份验证数据？

Question

在最近的安全扫描之后，信息安全团队表示他们不喜欢这样的事实，即他们可以保存 .AspNet.ApplicationCookie 值，然后再次使用它允许用户访问该站点。

仔细阅读后，我明白这是标准行为，但我必须找到一种在用户注销时完全终止会话的方法。

我的理解有点薄，所以我的搜索很少。有办法解决这个问题吗？

Answer 1

回复晚了，但对于遇到此问题的人：

我们通过添加验证指纹的自定义属性来处理此问题。我们将此属性用于登录后的任何页面。

以下是如何实现的粗略示例。

指纹在登录时创建并添加到缓存：

    private void OwinSignIn(tblUser user)
    {
        var thumbPrint = Guid.NewGuid();
        var claims = new List<Claim>
        {
            ....
            new Claim(ClaimTypes.Thumbprint, thumbPrint.ToString())
        };


        MemoryCache.Default.Set(thumbPrint.ToString(), true, new CacheItemPolicy() { AbsoluteExpiration = DateTimeOffset.Now.AddMinutes(60) });
}

该属性然后查找此指纹并采取相应行动：

public class ValidateThumbprint : FilterAttribute, IAuthorizationFilter
{
    public void OnAuthorization(AuthorizationContext filterContext)

    var identity = (ClaimsIdentity)filterContext.HttpContext.User.Identity;
    var thumbPrint = identity.Claims?.Where(s => s.Type == ClaimTypes.Thumbprint).First().Value;

    if (thumbPrint != null)
    {
        if (MemoryCache.Default.Contains(thumbPrint))
        {
            return;
        }
    }
        // handle invalid thumbprint
}

我不确定这是否是最好的方式和最安全的方式，但它确实阻止了在注销后保存和重新使用 cookie。