会话没有过期？

Question

也许我的问题很愚蠢，但它让我发疯，你看我有这个应用程序，即使我使用了 Session.Abandon()、Session.Clear() 和 Session.Removeall()，它的会话在注销后也不会过期。我一直在互联网上搜索，但到目前为止没有运气，我真的希望能得到一些帮助。假设我有用户 X，如果我执行以下操作，任何人都可以使用 X 的帐户登录：

1- 使用 X 的用户名和密码登录。 2-获取会话“.ASPXFORMSAUTH”信息。 3-从X的帐户注销 4- 例如，使用 firefox“添加 cookie 功能”添加会话“.ASPXFORMSAUTH”及其值。 5-输入 URL 并单击 Enter 页面刚刚打开，它真的让我抓狂！

提前致谢

Answer 1

您还需要调用 FormsAuthentication.SignOut()

Answer 2

在这种情况下，会话中有一个附加标志（例如“ACTive”），可以在注销期间将其设置为 false。基于此，您可以将用户重定向到登录或您想要的任何其他常规页面。

我不确定是否有定义的方法来处理这个问题，但我会做我所说的事情。

用户已经使用 FormsAuthentication.Signout() 注销的场景，并尝试使用相同的 cookie（他以某种方式访问​​了它）来攻击系统以访问网站的经过身份验证的部分。
在这种情况下，微软的建议还建议使用持久性机制来记录/跟踪用户注销，并在后续的虚假请求中使用该信息将其重定向到登录页面（并再次清除 cookie）。

参考：阅读中的第 3 点备注部分