4

我遇到了一个问题,即使在删除用户 cookie 后,他们仍然登录到我的 ASP.NET MVC 站点(IIS 6)。但是,这只发生在我的客户端机器上,我在 Win7 上的 IE 8 没有这个问题,并且正常的注销方法工作正常。似乎他们需要关闭浏览器才能让他们在单击注销后无法访问该站点(他们也在使用 IE 8)。知道这笔交易是什么吗?注意:它在客户端的 Firefox 中运行良好。

注销流程如下:

  • 删除自定义 Web 应用程序“记住我的登录”cookie
  • 重定向到联合服务器,该服务器将它们从 ADFS 中注销并删除 FS cookie
  • 它们在联合服务器上的“注销完成”页面停止

...但是当他们再次浏览该应用程序时,他们会立即进入!

4

1 回答 1

1

如果您的 cookie 被删除,有五件事可能导致这种情况(按可能性降序排列):

  • 用户在某个时间点执行了 HTTP 基本身份验证。如果发生这种情况,浏览器会缓存身份验证凭据,并且退出的唯一方法是关闭浏览器。
  • 有一个 LSO(Flash 对象)保持会话状态或重新创建 cookie。
  • 您正在根据用户的 IP 地址检查某些内容。
  • 该页面已缓存,用户实际上并未登录。
  • 客户端正在使用其本地用户凭据进行 SPNEGO 身份验证,因此他们实际上是在每次访问您的站点时再次登录到您的站点。您只是没有注意到,因为 SPNEGO 不需要用户干预。

这些是我能想到的唯一原因。

于 2010-08-12T14:35:19.283 回答