Эксклюзивный вход в ASP.NET FormsAuthentication

Я работаю на веб-сайте, где я получаю фид имен пользователей/хэшированных паролей из другой службы. Когда кто-то с успехом входит в систему, я устанавливаю cookie для проверки подлинности форм с FormsAuthentication.SetAuthCookie.

Мой клиент не любит, чтобы несколько пользователей регистрировались с одинаковыми учетными данными. Они хотели бы войти в систему, чтобы аннулировать всех зарегистрированных в настоящее время клиентов.

В FormsAuthentication нет способа сообщить серверу "аннулировать любой другой файл cookie под этим именем". KB900111 предполагает, что сервер не поддерживает список допустимых файлов cookie. Поэтому мой подход звучит не очень хорошо.

Какая альтернатива? Время, чтобы вырезать формы auth?

+1
источник поделиться
1 ответ

Не обязательно. Формы auth по-прежнему предоставляют довольно много запеченных функций, которые могут вам понадобиться. Возможно, вы можете сгенерировать и опубликовать Guid при первом входе пользователя в систему и сохранить его на стороне сервера и в cookie (предпочтительно билет безопасности). Каждый раз, когда делается запрос, вы проверяете, чтобы пользователь использовал не только правильные учетные данные, но и тот же компьютер и браузер (на основе файла cookie, который вы выдали пользователю, когда пользователь вошел в систему). Вы, конечно же, должны убедиться, что ваш Guid истекает в какой-то момент, а также убедитесь, что вы очистите его, когда пользователь выйдет из системы.

0
источник

Связанные вопросы


Похожие вопросы

Посмотрите другие вопросы по меткам или Задайте вопрос