我来帮你梳理下这个场景的核心问题和解决办法：

你的场景还原 #

你当前的技术栈是 Angular前端 + ASP.NET Core Web API后端，搭配IdentityServer4的授权码流（含PKCE），集成了Facebook或Microsoft作为第三方身份提供商。正常流程下：

• 用户登录后，能通过刷新令牌静默刷新访问令牌，实现无中断操作；
• 用户显式登出时，idsrv和idsrv-session Cookie会被正常删除，功能符合预期。

但遇到的问题是：用户未点击显式登出，仅关闭浏览器/标签页后再次访问站点，点击登录会直接自动完成登录，无需通过第三方提供商重新验证身份。你也注意到这是因为ASP.NET Core Cookie认证使用的idsrv Cookie仍有效，且它是HTTP-only Cookie，前端无法直接删除。

核心原因排查 #

一开始可能会怀疑是idsrv Cookie的持久化配置问题，但实际上这个Cookie本身是会话Cookie（Session Cookie）——按浏览器默认规则，关闭浏览器时应该自动被删除。

问题的根源出在浏览器的“继续上次会话”类功能（不同浏览器名称略有差异，比如Chrome的“重新打开上次关闭的页面”、Edge的“继续从上次中断的地方继续”）：当用户开启这个功能时，浏览器会在关闭时保存当前会话的完整状态（包括会话Cookie），下次启动浏览器时自动恢复这些状态，导致idsrv Cookie没有被清理。因此用户再次访问站点时，IdentityServer4能识别到有效会话，直接触发自动登录。

验证与解决办法 #

你可以通过以下步骤验证并解决：

• 关闭浏览器的“继续上次会话”功能；
• 完全关闭浏览器（确保所有相关标签页都关闭），重新打开后访问站点，此时点击登录就会跳转到第三方提供商的登录页面，需要重新输入凭据。

如果想从服务端层面做额外补充保障，也可以考虑缩短idsrv Cookie的有效期，但这会影响正常用户的会话时长，因此更推荐引导用户关闭浏览器的会话恢复功能——毕竟这是浏览器行为导致的会话Cookie未被清理，而非IdentityServer4的配置问题。

内容的提问来源于stack exchange，提问作者L-Four