如何在服务器端删除/使会话cookie无效,以便无法使用被盗的cookie登录?
这是我的登录代码:
var claimsPrincipal = new ClaimsPrincipal(new ClaimsIdentity(claims, "Forms"));
var sessionToken = new SessionSecurityToken(claimsPrincipal);
FederatedAuthentication.SessionAuthenticationModule.WriteSessionTokenToCookie(sessionToken);
HttpContext.Current.User = claimsPrincipal;
Thread.CurrentPrincipal = claimsPrincipal;
这是我的注销代码:
FederatedAuthentication.SessionAuthenticationModule.SignOut();
HttpContext.Current.User = null;
Thread.CurrentPrincipal = null;
您可以添加基于时间的声明,该声明可以在两个请求之间在服务器上进行验证,以及身份验证后提供的请求验证令牌,并存储在内存或隐藏字段中。