3

我正在使用 Facebook Owin 身份验证,或多或少遵循 Microsoft 示例。我或多或少遵循第一次用户登录,一切正常。但是如果他们退出并重试,似乎之前的 .AspNet.Correlation.Facebook 没有被删除,而是设置为空字符串。所以我对 api/getexternallogin 的下一次调用在 Fiddler 中看起来像这样:

在此处输入图像描述

这是当我们生成一个correlationId 并且此时有多个cookie 不是一个显示停止器。在响应中,我将其设置为新的 CorrelationId:

在此处输入图像描述

稍后当 facebook 回调“/signin-facebook”时,我们尝试在 ValidateCorrelationId 方法中验证相关性 ID。请求看起来像这样:

在此处输入图像描述

所以新的 CorrelationId 已经设置,但是没有值的额外 cookie 意味着当我去 Request.Cookies["ValidateCorrelationId"] 时,它返回空字符串。

我检查了代码,似乎修改此 cookie 的唯一方法是 GenerateCorrelationId 和 ValidateCorrelationId。这些方法的实现可以在这里找到:

http://katanaproject.codeplex.com/SourceControl/latest#src/Microsoft.Owin.Security/Infrastructure/AuthenticationHandler.cs

奇怪的是,我的浏览器似乎没有发现问题:

在此处输入图像描述

任何想法将不胜感激。

4

1 回答 1

3

好的,这让我感到有些沮丧,但是当在 ValidateCorrelationId 方法中调用 Response.Cookies.Delete(".AspNet.Correlation.Facebook") 时,它会发送以下响应:

在此处输入图像描述

因此,“expires”的值被连接起来并被视为两个单独的“set-cookie”。因此,cookie 没有过期,但其值设置为空字符串。似乎“Thu”之后的逗号导致了它。

我想出的解决方法是注释掉 Response.Cookies.Delete(".AspNet.Correlation.Facebook") 并改为执行以下操作:

Response.Headers.Add("Set-Cookie", new[] { CorrelationKey + "=; path=/; expires=Fri 02-Jan-1970 00:00:00 GMT" })

那里没有逗号,它现在正在工作。

这看起来确实是 OWIN 中的一个真正的错误。

于 2014-07-22T06:27:08.180 回答