Предыдущий захваченный запрос после выхода из системы остается действительным в аутентификации объявлений Azure.

Question

Мы столкнулись с проблемой выхода из нашего приложения.После того, как мы выйдем из системы, это будет нормально из браузера, но если мы получим запрос от некоторых инструментов (фидлер или отрыжка) и снова отправим запрос на сервер со старыми файлами cookie, а детали сеанса дадут полный ответ.Это возможно только через любой инструмент-перехватчик.Я использую приведенный ниже код для выхода из приложения:

Session.RemoveAll();            
 HttpContext.GetOwinContext().Authentication.SignOut(OpenIdConnectAuthenticationDefaults.AuthenticationType,
               CookieAuthenticationDefaults.AuthenticationType);

Answer 1

Это происходит потому, что access token и refresh tokens, выпущенные Azure AD, не удаляются, когда вы инициируете выход из приложения. Пока эти токены не истекли, они могут быть использованы.

На основании this время жизни маркера доступа настраивается (по умолчанию, я считаю, 1 час), и вы должны установить его в соответствии со своими потребностями.

Кроме того, есть сообщение об аннулировании токенов: https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/19474918-invalidate-jwt-token. Не стесняйтесь, чтобы проголосовать за эту функцию.