Когда вы входите в Identityserver, файл cookie аутентификации idsrv сохраняется в браузере. Когда пользователь выходит из системы, файл cookie удаляется. Однако злоумышленник может украсть файл cookie и по существу использовать его, даже если пользователь вышел из системы.
Это кажется «нормальным» поведением и для многих поставщиков удостоверений.
Вопрос
Это принятое поведение?
Можно ли каким-либо образом обнаружить, что пользователь вышел из системы и что значение файла cookie (токен) idsrv больше недействительно? Должны ли мы, например, внедрить IAuthenticationSessionValidator для отслеживания пользователей, вышедших из системы? Или это то, что должно принадлежать приложению с помощью утверждения id_token session_state?