我有托管 Azure 并由 Azure AD 保护的 MVC 应用程序。我们使用 OWIN 中间件 cookie 身份验证和 openidconnect 方法进行 Azure AD 身份验证。我们有以下观察结果,这似乎是安全漏洞。
1) 在 chrome 浏览器中访问应用程序。Azure AD 身份验证重定向后,应用程序加载正常。至此,OWIN 会创建一个名为“.AspNet.Cookies”的身份验证 cookie,它在内存 cookie 中,这意味着一旦关闭浏览器,cookie 就会丢失。
2)现在复制cookie“.AspNet.Cookies”并关闭浏览器。内存中的 cookie 被删除。但是,如果我们通过附加 cookie 向应用程序发起请求(使用 fiddler 的代理请求),则服务器接受 cookie 并加载应用程序。
这意味着,从一个浏览器会话生成的 cookie 可以与另一个浏览器会话重用。
这看起来像一个安全漏洞。有没有办法解决这个问题。或者我们缺少 Azure AD 上的任何设置?
任何输入都受到高度赞赏。
谢谢,马杜