【发布时间】:2013-02-10 11:28:14
【问题描述】:
这是我的问题。我的应用程序有登录页面、密码重置页面和个人资料页面。密码重置页面和个人资料页面未经身份验证无法访问。
我已将[Authorize] 用于配置文件操作和密码重置操作。
在我的应用程序中,我的用户密码在 30 天后过期。因此,当用户登录并且密码过期时,我会重定向用户以更改密码页面。由于用户已经通过身份验证,用户可以进入个人资料页面,输入网址(例如:www.mywebsite.com/Profile/View)。这是一个漏洞。
我不希望用户取消密码更改过程。我想强制用户更改密码。
我怎样才能做到这一点?
【问题讨论】:
标签: c# asp.net-mvc-3 visual-studio-2010 authentication security