我们将Oauth2身份验证与Okta一起用于我们的经典ASP.Net MVC网站。在用户注销应用程序之后;重放";使用所有原始cookie的旧请求,仍然可以访问网站。我该如何防止这个安全漏洞?
我已经成功地为我的ASP.Net Core网站开发了一个自定义的ITicketStore来解决这个问题(类似于https://ml-software.ch/posts/implementing-a-custom-iticketstore-for-asp-net-core-identity),但我找不到与用于经典ASP.Net应用程序的ITicketStore类似的概念。
Owin中有一个等价于ITicketStore的存储,它被称为IAuthenticationSessionStore。您可以在以下位置找到示例:https://rhastastudio.wordpress.com/2016/07/19/owin-authentication-and-session-store/