У меня есть приложение MVC, размещенное в Azure и защищенное Azure AD.Мы используем аутентификацию промежуточного программного обеспечения OWIN и подход openidconnect для аутентификации в Azure AD.Ниже приведено наблюдение, которое представляется недостатком безопасности.
1) Доступ к приложению в браузере Chrome.После перенаправления аутентификации Azure AD приложение загружается нормально.К настоящему времени в OWIN будет создан файл cookie для проверки подлинности с именем «.AspNet.Cookies», который находится в файле cookie в памяти, что означает, что файл cookie будет потерян после закрытия браузера.
2) Теперь скопируйте файл cookie ".AspNet.Cookies "и закройте браузер.В памяти cookie удаляется.Однако если мы инициируем запрос (запрос прокси с использованием fiddler) к приложению, прикрепив cookie, сервер принимает cookie и приложение загружается.
Это подразумевает, что cookie, сгенерированный из одного сеанса браузера, может быть повторно использован с другим сеансом браузера.
Это выглядит как недостаток безопасности.Есть ли способ решить проблему.Или у нас отсутствуют какие-либо настройки в Azure AD?
Любые входные данные высоко ценятся.
Спасибо, Мадху