Когда я выхожу с провайдером OpenId, я остаюсь аутентифицированным с помощью RP

Question

У меня очень простая реализация DotNetOpenAuth, работающая на моем сайте MVC4 (только для Google).

Проблема в том, что если я (1) войду на свой сайт с помощью Google, а затем (2) войдувне Google я все еще аутентифицируюсь на своем сайте.

Это сделано специально?Я новичок в OpenId, поэтому я немного запутался.Наверняка пользователи ожидают, что если они выйдут из Google, что завершат все связанные с ними сеансы OpenId?

Answer 1

Это задумано?

Да.

Это может привести к хаосу для сайтов, если другие сайты могут просто пойти и изменить свою сессиюсостояния, когда пользователь выходит из Gmail (в этом примере).Что, если вы были на полпути к выполнению сценария обновления DB / SQL, который требует user_id из вашего сеанса, и вдруг его там нет, потому что пользователь только что вышел из учетной записи gmail?У вас будут сценарии, падающие повсюду.Или что, если у них есть 2 учетные записи Gmail и выход из одной учетной записи, чтобы проверить свою почту в другой учетной записи.Бэм, их вышли из всех других сайтов.Я думаю, что нет :-)

Когда пользователь «входит» на сайт с помощью стороннего поставщика учетных данных, он по-прежнему несет ответственность за выход из обоих сайтов, если он хочет.