Web API 2、OWIN認証、サインアウトがログアウトしない

私は、Bearerトークンを認証メカニズムとして使用することを目的とした研究を行っています（つまり、AngularJS UI、Web API [2]プロジェクトでOWINを介して認証します）。

ログインは正常に機能し、ロール情報などはすべて正常ですが、トークンを取得してログアウトできません。

私のスタートアップ構成はこれです：

OAuthOptions = new OAuthAuthorizationServerOptions() {
    TokenEndpointPath = new PathString("/Token"),
    Provider = new ApplicationOAuthProvider(PublicClientId),
    AccessTokenExpireTimeSpan = SESSION_TIMEOUT,
    AllowInsecureHttp = true
};

そして、私のログアウトアクションはこれだけです。

public HttpResponseMessage Logout() {
    var authentication = HttpContext.Current.GetOwinContext().Authentication;
    authentication.SignOut(DefaultAuthenticationTypes.ExternalBearer);

    return new HttpResponseMessage(HttpStatusCode.OK);
}

簡潔にするためにすべての認証を省略しましたが、トークンをセットアップするときにExternalBearerを使用していることを確認するために。

私のUIでは、ローカルストレージにトークンを保存しています（ここではCookieは関係していません。これは意図的な設計上の決定です）。つまり、UIにlogoutボタンがあり、Logoutアクションがヒットし、コードが正常に実行されます。

しかし、その後、承認が必要なAPIのアクションにヒットした場合、リクエストはまだ通過します（つまり、ユーザーはshouldログアウトしました。

私は本当に明らかなものを見逃している（初めてではない;-)か、ここでさらに基本的なことがあります-最後に私はこれが彼らの領域であることを知っているので@leastprivilegeにpingを送信しています。

どんな助けや洞察もありがたいことに受け取られます。

私が考えることができるのは、トークンがサーバー/ API側でステートレスであるため、期限切れまたはサインアウトできないことです。

その場合、私は次のいずれかができると思います：

a）過去に有効期限が切れる新しいトークンを作成する更新トークンを追加します-これでも機能しますか？ -実際にそれをキャンセルすると、新しいトークンが発行されます...古いトークンは引き続き有効です

b）ベアラートークンをデータベースに保存し、毎回確認し、ログアウト時にトークンを削除します（自然にソルト、ハッシュなど）。ただし、これは単にステートフルサーバーを持つことに戻ってきました。

c）誰かが明示的にログアウトするときにローカルストレージからトークンを削除することができます（そして今後もします）が、a baddyができる場合、トークンはまだ技術的に有効ですトークンをインターセプトします。当然、上記のすべては終了します[〜＃〜] ssl [〜＃〜]とにかく、悪者/少女を禁止する必要があります。

d）おそらくこれが、多くの人がBearerトークンを（ストレージメカニズムとして）Cookieに保存する理由です。したがって、少なくともログアウトすると、次回の更新でCookieは削除されます。

上記はちょっとしたブレインダンプであり、質問を先取りしたいだけです