Аутентификация через OpenId без входа пользователя на сайт провайдера

Question

Я строю сайт с использованием MVC и использую DotNetOpenAuth.Я только что попросил моего друга проверить вход в систему моего сайта на моем компьютере.Он использовал свою учетную запись gmail, но после того, как он это сделал, я зашел на gmail.com, и он автоматически вошел в систему как он, поскольку он все еще проходил проверку подлинности.

Это кажется довольно серьезной проблемой безопасности.Если я нахожусь на общедоступном компьютере и захожу на сайт, использующий OpenId, я не обязательно понимаю, насколько важно выйти из этого сайта, и вполне возможно, что на сайте даже нет ссылки «Выйти» или правильнореализовал это.Есть ли способ, по крайней мере, с DotNetOpenAuth, чтобы аутентифицировать пользователя, но не обязательно заставлять его «входить» в его openid провайдера?

Answer 1

Нет, нет.То есть каждый поставщик OpenID должен решить, как долго должен длиться сеанс входа в систему для своих пользователей.И большинство из них, как правило, поддерживают их вход в систему с помощью стандартного файла cookie сеанса.

Общее решение для этого - когда ваш друг находится на вашем компьютере, он никогда не должен нажимать «Запомнить меня» и всегда должен закрывать браузер, когда он закончил.Это единственный способ обеспечить полный выход из системы всех веб-сайтов.

Answer 2

Я просто вхожу в Google, не проверяю «оставаться в системе», закрываю браузер (Firefox, все окна и вкладки), и когда я снова открываю его, я все еще захожуПочему (согласно принятому ответу)?

Извините, пока не можете комментировать.