找到这个官方 ACS 演示 http://www.fabrikamshipping.com/在研究ACS时。
在应用程序本身中,当使用提供商之一(我选择 Google)登录时,我可以在浏览器历史记录中看到包含从 ACS 返回的声明的 URL。这是以
即使在清除所有浏览器缓存和 Cookie 之后,访问此 URL 也会使我登录到应用程序中。
因此,如果我从某台公共(public)计算机登录该应用程序,然后注销,我的帐户就会通过访问浏览器历史记录中的此 URL 而暴露。
我知道这是 ACS 身份处理工作的标准方式。
我在这里缺少什么?
最佳答案
你没有失踪。即使所有 cookie 都被清除,此 URL 也会让您登录。但是,在使用公共(public)计算机时,您必须更加小心您的凭据。清除历史记录将从浏览器历史记录中删除该 URL。
此外,我实际上并没有在我的历史记录中看到声明 URL。
保护您的个人数据的另一种方法是在您选择的浏览器中使用“In Private Browsing session ”。请注意,别人很难看到,更不用说记住该 URL。你明白了,因为你在重定向时从浏览器复制了。
关于security - Azure ACS - 浏览器历史记录中公开的声明 URL - 安全漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9154011/