asp.net – 如何追踪过期的WIF fedauth cookies？

作为一个背景：该站点是MVC 3,使用与ADFS服务器作为STS信任的Windows Identity Foundation(WIF).整个站点受SSL保护. STS将令牌到期时间设置为60分钟.

当用户手动注销时,我们只需在FedAuth模块上调用SignOut方法：

FederatedAuthentication.WSFederationAuthenticationModule.SignOut(false);

这当然会删除FedAuth cookie,但问题出现在这里.如果我用Fiddler捕获这些cookie,我可以在它们的到期时间内将它们重新呈现给网站,并且仍然被视为已登录.

我意识到这是从浏览器的特权位置执行,已经接受了小提琴作为代理…但是客户担心那些实际上没有过期的身份验证cookie会带来很大的安全风险.他们不相信SSL足以保护网站,如果攻击者可以执行MITM攻击,他们可以在用户认为已经注销后使用这些cookie.

我已经解释过如果他们在注销后容易受到攻击,他们在登录时很容易受到攻击,但是他们并不关心…

所以我一直在寻找方法来确保一旦用户注销,与该登录会话相关联的fedauth cookie将被视为已过期. WIF处理程序似乎没有用于跟踪过期令牌的内置机制,我还没有找到与此相关的任何其他内容.

我想这实际上是一个更广泛的问题 – >如何检测一般过期的cookie？有效的cookie是有效的cookie！

显而易见的解决方案是以某种方式在注销后跟踪这些cookie,但是如果可能的话我想避免使用自定义代码路由;作为一个菜鸟,许多安全文献都说要避免自定义编码任何类型的会话机制,因为你可能会弄错它！

是否有人知道ASP.NET中的任何标准解决方案？

提前致谢.