Федеративная аутентификация и управление сессиями

Question

Федеративная аутентификация и управление сессиями

Когда вы входите в Identityserver, cookie-файл аутентификации idsrv сохраняется в браузере. Когда пользователь выходит из системы, файл cookie удаляется. Однако злоумышленник может украсть файл cookie и, по сути, использовать его, даже если пользователь вышел из системы.

Это кажется "нормальным" поведением и для многих провайдеров идентификации.

Вопрос

Это принято поведение?

В любом случае можно обнаружить, что пользователь вышел из системы и что значение cookie токена idsrv больше не является действительным? Должны ли мы, например, реализовать IAuthenticationSessionValidator, чтобы отслеживать пользователей, которые вышли из системы? Или это то, что должно принадлежать приложению с помощью утверждения id_token session_state?

2

authentication security session-cookies identityserver3 session-management

Источник

user7917518 25 апр '17 в 06:17

1 ответ

Другие вопросы по тегам authentication security session-cookies identityserver3 session-management

user7917518 04 июл '17 в 17:29 2017-07-04 17:29 · Answer 1 · 2017-07-04 17:29

В соответствии с требованием 3.2 OWASP ASVS сеансы должны быть признаны недействительными при выходе из системы, поэтому не должно быть возможности использовать один и тот же файл cookie после выхода из приложения. Это также имеет место при использовании других провайдеров идентификации, таких как ADFS и AAD.