在最近的安全扫描后,信息安全团队表示他们不喜欢可以保存的事实。AspNet.ApplicationCookie 值,并在之后再次使用它,允许用户访问该网站。
阅读后,我明白这是标准行为,但我必须找到一种方法在注销用户时完全终止会话。
我的理解在这里有点单薄,所以我的搜索很少。有没有办法解决这个问题?
一个迟到的回复,但对于那些遇到这个问题的人:
我们通过添加验证指纹的自定义属性来处理此问题。我们将该属性用于登录后的任何页面。
下面是如何实现此目的的粗略示例。
指纹在登录时创建并添加到缓存:
private void OwinSignIn(tblUser user)
{
var thumbPrint = Guid.NewGuid();
var claims = new List<Claim>
{
....
new Claim(ClaimTypes.Thumbprint, thumbPrint.ToString())
};
MemoryCache.Default.Set(thumbPrint.ToString(), true, new CacheItemPolicy() { AbsoluteExpiration = DateTimeOffset.Now.AddMinutes(60) });
}
然后,该属性查找此指纹并采取相应的操作:
public class ValidateThumbprint : FilterAttribute, IAuthorizationFilter
{
public void OnAuthorization(AuthorizationContext filterContext)
var identity = (ClaimsIdentity)filterContext.HttpContext.User.Identity;
var thumbPrint = identity.Claims?.Where(s => s.Type == ClaimTypes.Thumbprint).First().Value;
if (thumbPrint != null)
{
if (MemoryCache.Default.Contains(thumbPrint))
{
return;
}
}
// handle invalid thumbprint
}
我不确定这是否是最佳方式和最安全的方式,但它确实会阻止在注销后保存和重复使用cookie。