在其中一个 ASP.NET MVC 应用程序中,如果用户关闭打开应用程序的浏览器选项卡,我们希望自动注销用户。
当他进行身份验证时,我们正在使用以下代码。
FormsAuthentication.SetAuthCookie(userName, false)
到目前为止,如果我们关闭浏览器窗口并重新启动它,用户会被要求再次进行身份验证。但我们希望用户在关闭选项卡并尝试访问任何网站 url 时再次进行身份验证。
【问题讨论】:
标签: asp.net asp.net-mvc
我们决定使用无 cookie 身份验证,以便身份验证令牌成为 url 的一部分。 When the tab is closed and they open the website again, they will be asked to authenticate again :)
【讨论】:
我自己没有尝试过,但我认为以下方法应该可行:
在客户端,您可以使用文档的 OnUnload 事件来启动一个 javascript 函数,该函数将通过 ajax 调用您的服务器端注销方法。
在服务器端,您应该调用 FormsAuthentication.SignOut() 和 Session.Abandon() 的操作方法;
【讨论】:
浏览器仅在完全关闭时清除所有 Session 范围的对象,而不是在单个选项卡关闭时。
一种方法是使用非常低的会话超时,并每隔几秒进行一次服务器端脚本轮询以命中页面上的对象。这将再次延长会话时间。因此,如果关闭选项卡,脚本将找不到对象,从而使会话超时。这里的一个问题是,如果您的应用程序负载非常高,您的应用程序本身可能会 DoS!
【讨论】:
实际上,当用户关闭浏览器选项卡时,我们无法注销用户。唯一的方法是在我们调用 Controller 中的 LogOn 方法时检查用户是否经过身份验证。
此代码是我如何在 ASP.Net MVC 3 中执行此操作的示例。
public ActionResult LogOn()
{
if (Request.IsAuthenticated)
{
FormsAuthentication.SignOut();
return RedirectToAction("Index","ProductManager");
}
return View();
}
【讨论】:
您可以简单地使用会话变量来自动注销任何试图返回安全目标页面的人。创建单个会话变量(整数或布尔值),并在您的登录按钮的 onclick 事件中,在确认用户具有有效凭据后将其重置为已知状态,然后在您尝试的页面的 page_load 事件中设置或增加该会话变量以确保。如果用户尝试返回页面,则测试这些值并注销用户,否则不执行任何操作。代码可能与此类似。
protected void btnLogin_Click(object sender, EventArgs e)
{
if (IsAuthenticated == true)
Session["IsUserLoggedIn"] = (int)0;
}
protected void Page_Load(object sender, EventArgs e)
{
if (HttpContext.Current.User.Identity.IsAuthenticated == true)
{
if (Session["IsUserLoggedIn"] != null)
{
int IsUserLoggedIn = (int)Session["IsUserLoggedIn"];
if (IsUserLoggedIn <= 0)
{
Session["IsUserLoggedIn"] = (int)IsUserLoggedIn + 1;
}
else
{
Session["IsUserLoggedIn"] = (int)0;
FormsAuthentication.SignOut();
FormsAuthentication.RedirectToLoginPage();
}
}
}
else { Session["IsUserLoggedIn"] = (int)0; }
}
【讨论】: