Мы реализуем SessionSecurityTokenCache в библиотеке Windows Identity Foundation (WIF), и мы заметили, что SessionSecurityTokenCacheKey будет повторно использован после того, как платформа выдаст вызов Remove. Мы тестировали с одним пользователем в закрытой среде. При обычном использовании метод Remove вызывается с указанным значением ключа c. Затем, продолжая использовать приложение в том же контексте сеанса, то же значение ключа будет отправлено обратно в метод AddorUpdate.
Зачем использовать тот же ключ после того, как фреймворк уже выпустил вызов для удаления ключа из кэша? И что более важно, должны ли мы обнаружить повтор и выдать какую-либо ошибку безопасности? Это нормальное поведение, позволяющее просто повторно использовать ключи?
К сожалению, это поведение противоречиво, были часы / дни, когда мы работали / тестировали, и один и тот же ключ никогда не воспроизводился. Затем, неожиданно, ключи сеанса начинают воспроизводиться в течение некоторого времени ... Мы реализовали наблюдение, чтобы увидеть, когда тот же ключ был удален (сохранен в отдельном списке), а затем повторно добавлен во время того же действительного сеанса.