Question

Реализована базовая аутентификация с помощью формы MVC, при выходе из системы я имею сеанс очистки и отмены, а также отправляю куки (после установки срока годности) в ответ.проблема в том, что если у пользователя есть предыдущий файл cookie, он может продолжать использовать приложение без каких-либо помех со стороны почтальона.

FormsAuthentication.SignOut();
HttpContext.Current.Session.Abandon();

HttpCookie cookie1 = new HttpCookie(FormsAuthentication.FormsCookieName, "");
cookie1.Expires = DateTime.UtcNow.AddYears(-1);
HttpContext.Current.Response.Cookies.Add(cookie1);

Я хочу запретить пользователю использовать приложение всеми средствами.он не должен иметь возможность использовать приложение со старым cookie, должен быть предложено войти в систему.

Usman Tariq · Answer 1 · 02 апреля 2019

Ограничения проверки подлинности с помощью форм в MSDN

Вызов метода SignOut удаляет только cookie проверки подлинности с помощью форм.Веб-сервер не хранит действительные и просроченные билеты для аутентификации для последующего сравнения.Это делает ваш сайт уязвимым для повторной атаки, если злонамеренный пользователь получает действительный файл cookie для проверки подлинности форм

Как проверить cookie после выхода из системы, когда пользователь вызывает его из почты, а не из браузера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как проверить cookie после выхода из системы, когда пользователь вызывает его из почты, а не из браузера

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов