При использовании CookieAuthentication файл cookie представляет собой просто зашифрованную строку, содержащую имя пользователя, роли и вспомогательные данные. Короче говоря, он идентифицирует пользователя, а не сеанс. Завершение сеансов не делает файл cookie недействительным.
При этом вы можете вставить идентификатор сеанса или другой токен во вспомогательные данные файла cookie, а затем проверить это в процессе аутентификации. Пример того, кто пытается это сделать, можно найти на здесь.
Другой вариант - вместо того, чтобы аннулировать сеансы, вы можете временно отключить пользователей в своем пользовательском репозитории. Вот пример использования ASPNET Identity 2.0.
Третий (ядерный) вариант - изменить машинный ключ на всех веб-серверах. , в результате чего все старые файлы cookie проверки подлинности с помощью форм станут нечитаемыми, что заставит всех пользователей снова войти в систему.
person
John Wu
schedule
17.05.2017