An mehreren Stellen in einem Standard-ASP.Net MVC Identity 2.0 Owin Implementierung Sie rememberBrowser sehen werden, wie:Was genau erinnert sich Owin an den Browser?
await signInManager.SignInAsync(user, isPersistent: isPersistent, rememberBrowser: false);
Wenn Sie rememberBrowser auf true gesetzt haben, ich habe bemerkt, dass ich den Browser töten, Töte IIS Express, lösche den Benutzer, bei dem der Browser angemeldet war, starte sogar meinen Rechner neu und der Browser wird weiterhin als eingeloggt betrachtet. Nicht so toll, wenn man bedenkt, dass ein gelöschter Benutzer als autorisiert/eingeloggt behandelt wird, werden alle Arten von Problemen im Code hinter dem [Authorize]
-Attribut verursacht, das einen gültigen Benutzer erwarten lässt.
Also, was genau macht rememberBrowser, und gibt es ein Risiko, dass jemand einfach rememberBrowser in ihren Cookies fälschen könnte, um die OWIN-Anmeldung zu umgehen? Es scheint der Punkt von [Authorize]
zu garantieren, dass niemand außer eingeloggten Benutzern auf eine bestimmte Controller-Aktion zugreift, und rememberBrowser scheint ein Loch in dieser Garantie zu sein.
Bonus Frage: Gibt es eine Möglichkeit, rememberBrowser zu deaktivieren, so dass selbst wenn ein gefälschter Cookie kam, würde es abgelehnt werden?