防伪令牌是为不同的基于声明的用户而设计的

对我有效的方法是交换中间件使用的顺序。首先添加 app.UseAuthentication() 然后再加上防伪标记。这是我的做法：

app.UseAuthentication();
app.Use(next => ctx =>
        {
            var tokens = antiforgery.GetAndStoreTokens(ctx);

            ctx.Response.Cookies.Append("XSRF-TOKEN", tokens.RequestToken,
                new CookieOptions() { HttpOnly = false });

            return next(ctx);
});

反过来做会创建一个不适用于已认证用户的令牌。

你返回了一个View，而没有调用RedirectToAction()。所以发生的情况是视图在注销请求的上下文中运行，用户仍然登录。只有在请求完成后，他们才会退出登录。

所以，请尝试

public ActionResult Logout()
{
    SignInManager.Logout();
    return RedirectToAction("Index", "Home");
}

我发现用户在已经通过身份验证后提交登录页面时会遇到此问题。我通过以下步骤再现了此错误：

1. 登录并打开两个标签页，
2. 从其中一个标签页注销，
3. 重新加载两个标签页，
4. 在其中一个标签页上登录，
5. 尝试使用另一个标签页进行登录。该错误出现在 POST: /Account/Login 操作之前。

我的大多数用户都使用移动设备访问 Web 应用程序，因此他们将登录页面添加到书签中，并在已经登录的背景标签页中打开它并进行提交。我还推测有时他们会打开一个包含登录表单的未激活标签页，然后再提交。

我意识到解决此问题的方法有很多种。我通过以下两个更改来解决这个问题：

1. 我在“GET:/Account/Login”操作中添加了一个检查 User.Identity.IsAuthenticated 的语句：

if (User.Identity.IsAuthenticated)
{
   try
   {
      return RedirectToLocal(returnUrl);
   }
   catch
   {
      return RedirectToAction("index", "Home");
   }
}

[AllowAnonymous]
public JsonResult CheckLogedIn()
{
    try
    {
        return Json(new { logged_in = User.Identity.IsAuthenticated }, JsonRequestBehavior.AllowGet);
    }
    catch
    {
        return Json(new { logged_in = false }, JsonRequestBehavior.AllowGet);
    }
}

当我已经登录时，我在视图中重复调用它，以将所有打开的登录表单重定向到其他页面：

<script type="text/javascript">
    setInterval(function () {
        $.ajax({
                url: '@Url.Action("CheckLogedIn", "Account")',
                type: "GET",
            }).done(function (data) {
                if (data.logged_in) {
                    window.location = '/';
                }
            });
    }, 5000);  
</script>

这对我很有效，希望能对你有所帮助。

试一试：

public ActionResult Logout()
{
    AuthenticationManager.SignOut();
    Session.Abandon();
    return RedirectToAction("Index");
}

这将重新加载您的登录页面，从而为您提供一个新的 CSRF 令牌。

我一直在登录时遇到这个错误很长一段时间了，但一直无法找出原因。最终我找到了它，并在这里发布（虽然原因略有不同），以防其他人也遇到同样的问题。

这是我的代码：

//
// GET: /login
[OutputCache(NoStore = true, Location = System.Web.UI.OutputCacheLocation.None)]
public ActionResult Login()
{
    return View();
}

//
// POST: /login
[HttpPost]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
    AuthenticationManager.SignOut(DefaultAuthenticationTypes.ExternalCookie);

    if (!ModelState.IsValid)
    {
        return View(model);
    }
    //etc...

99.99%的登录都正常工作，但每隔一段时间就会出现上述错误，尽管我无法复制它，直到现在。

只有在快速连续两次点击登录按钮时才会发生此错误。但是，如果我在Login动作中删除AuthenticationManager.SignOut行，则没有问题。我不确定为什么要加入那行代码，但它导致了问题-删除它可以解决问题。

在我的登录方法中，我没有像Sean提到的那样拥有AuthenticationManager.SignOut命令。我能够通过在下一个视图加载之前多次单击登录按钮来重现该问题。我在第一次单击后禁用了登录按钮以防止错误发生。

<button type="submit" onclick="this.disabled=true;this.form.submit();"/>

试试这个：

 public ActionResult Login(string modelState = null)
    {
        if (modelState != null)
            ModelState.AddModelError("", modelState );

        return View();
    }
 [ValidateAntiForgeryToken]
    public async Task<ActionResult> Login(LoginViewModel model)
    {
        AuthenticationManager.SignOut();

        return RedirectToAction("Login", "Controller", new { modelState = "MSG_USER_NOT_CONFIRMED" });
    }