삭제 된 사용자가 다른 브로슈어에서 삭제 한 후에도 로그인했습니다.

Question

var query = from p in AdminModelContext.Users 
      where p.UserName == model.UserName && p.Password == encryptPassword 
      && p.IsDeleted == false 
           select p; 
      IList<Users> userList = query.ToList(); 

if (userList.Count() > 0) 
{ 
    FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe); 

    if (CheckUrl(returnUrl)) 
    { 
     return Redirect(returnUrl); 
    } 

    SetRoleForUser(userList[0].RolesId); 
    LoggerService.Info(string.Format("Login Successful for the user : {0}", 
     model.UserName)); 

    return RedirectToAction("Index", "Home"); 
} 

내 웹 사이트를 통해 로그인하려면 다음 코드를 사용하고 있습니다. 내가 직면하고있는 문제는 특정 브라우저에서 사용자와 로그인하고 다른 브라우저에서 다른 사용자와 동시에 로그인 한 다음 다른 브라우저에서 로그인 한 사용자를 삭제할 때 발생합니다. 여전히 삭제 된 사용자가 로그인 한 페이지를 탐색 할 수 있습니다.

모든 페이지에 인증 논리를 적용하는 데 필요한 적절한 솔루션을 찾을 수 없습니다. 내 웹 사이트는 MVC 모델이며 양식 기반 인증을 사용합니다.

로그인 한 사용자 세션 유효성 검사를 어떻게 수행하고이를 수행 할 수 있는지 제안하십시오.

Answer 1

일반적으로 제어기 또는 동작에 대해 [Authorize] 속성이 정의되어있는 경우 모든 게시물에 대해 인증이 확인됩니다.

MembershipProvider의 빌드가 모든 것을 처리합니다. 하지만 그것은 당신이 자신의 사용자 데이터베이스를 사용하는 것 같습니다. 그런 다음 자신 만의 MembershipProvider, IPrincipal 및 MembershipUser을 구현하고 Web.config에 추가하여 기본값을 바꾸십시오.

당신이 당신의 자신의는 MembershipProvider 구현하는 방법을 여기에서 찾을 수 있습니다 더 많은 : http://msdn.microsoft.com/en-us/library/f1kyba5e.aspx

나의 제안은 빈 MVC 프로젝트를 생성하고 기본 인증 메커니즘을 살펴 가지고하는 것입니다. 새 데이터베이스로 새 응용 프로그램을 빌드하는 경우 기본 인증을 사용해보십시오.

MembershipProvider의 validateUser 함수는 다음과 같을 수 있습니다.

public override bool ValidateUser(string username, string password) 
{ 
    bool isValid = false; 
    bool isApproved = false; 
    string pwd = ""; 

    using (AdminModelContext db = new AdminModelContext()) 
    { 
     var user = db.Users.FirstOrDefault(u => u.UserName == username); 
     if (user != null) 
     { 
      pwd = user.Password; 
      isApproved = user.IsApproved; 

      if (CheckPassword(password, pwd)) 
      { 
       if (isApproved) 
       { 
        isValid = true; 

        user.LastLoginDate = DateTime.Now; 
        user.LastActivityDate = DateTime.Now; 

        try 
        { 
         db.SubmitChanges(); 
        } 
        catch (Exception ex) 
        { 
         Console.WriteLine(ex); 
        } 
       } 
      } 
      else 
      { 
       UpdateFailureCount(username, "password"); 
      } 
     } 
    } 

    return isValid; 
} 

Answer 2

지금까지 답변을 얻지 못했습니다. 티켓은 자격 증명에 독립적이기 때문에이 시점 아무것도에서

User A enters log in page, supplies valid credentials 
User A is issued Ticket A. 

User B enters site, supplies valid credentials. 
User B is issued Ticket B. 

User B then revokes User A's access CREDENTIALS. 

이 티켓 A.에 발생합니다

는 제어 흐름에서 볼 수 있습니다. 티켓 A가 만료되면 자격 증명을 제시해야하며 로그인에 실패합니다.

그래서 실제 사용자를 사이트 밖으로 내쫓는 것이 실제로 꽤 어렵다는 것을 눈치 챘습니다. 유일한 해결책은 모든 요청에 ​​인증 논리를 갖는 것입니다. 불행하게도 그것은 정말로 무겁다.

내가 만든 로그인 시스템에서는 2 개의 티켓, 큰 기간이있는 Forms Auth 티켓에 저장된 1 개의 티켓 및 HttpRuntime.Cache에 저장된 티켓을 처리하여 캐시 만료를 다음과 같이 설정했습니다. 이 티켓으로 15 분.

모든 페이지 요청시 사용자가 티켓을 가지고 있지 않은지 (양식 인증 정보를 기반으로) 캐시에 티켓이 있는지 확인합니다. 사용자 데이터를 새로 고치고 사용자 데이터베이스를 폴링합니다. . 사용자가 일시 중지되거나 삭제되면 해당 사용자는 로그 아웃됩니다.

이 방법을 사용하면 내 사이트에서 사용자를 사용 중지 할 수 있음을 알고 15 분 이내에 사용자가 사이트에서 차단됩니다. 만약 내가 그들을 즉시 차단하기를 원한다면 나는 캐시를 지우고 그것을 강제하기 위해 앱 설정을 순환시킬 수있다.

Answer 3

지금 문제가 있습니다.MVC에서 어떻게 작동하는지 알지 못하지만 Authenticate_Request를 사용하면 사용자가 유효한지 유효성을 검사 할 수 있습니다. 비즈니스 논리는 사용자가 아직 유효한지 다시 확인합니다. 그러나 내가 아는 한, 열려있는 모든 세션을 반복하고 더 이상 필요하지 않은 세션을 죽이는 방법은 없습니다.이 경우에도 권한 쿠키는 Session_Start 이벤트에서 두 번 검사해야합니다. 또 다른 옵션은 응용 프로그램에 전역 invalidated_users 목록을 추가 한 다음 해당 사용자를 잘못된 목록과 대조하는 것입니다. 이 목록에는 응용 프로그램을 다시 시작한 후에 무효화 된 사용자 만 포함되어야합니다. 세션의 모든 사용자를 읽기위한

링크 : 위의 코드가 맞다

http://weblogs.asp.net/imranbaloch/archive/2010/04/05/reading-all-users-session.aspx