我们在申请退出时遇到问题。一旦我们退出,那么从浏览器中完全没问题但是如果我们从一些工具(fidler或burp)捕获请求并再次将请求发送到具有旧cookie的服务器并且会话详细信息给出完全响应。这只能通过任何拦截工具实现。我使用以下代码从应用程序注销:
Session.RemoveAll();
HttpContext.GetOwinContext().Authentication.SignOut(OpenIdConnectAuthenticationDefaults.AuthenticationType,
CookieAuthenticationDefaults.AuthenticationType);
发生这种情况的原因是,当您从应用程序启动注销时,Azure AD发布的access token和refresh tokens不会被删除。只要这些令牌没有过期,就可以使用它们。
基于this,访问令牌生存期是可配置的(默认我认为是1小时),您应该根据您的需要进行设置。
此外,还有关于令牌无效的反馈帖:https://feedback.azure.com/forums/169401-azure-active-directory/suggestions/19474918-invalidate-jwt-token。随意支持此功能。