Question

当用户使用ASP.net网站登录时，是否有通知的方法？

注意：用户无需访问“登录页面”即可登录。如果存在“记住我”cookie，他们可以点击任意页面并登录。

当用户登录时，我想获取一些与会话相关的信息。

注意：有Login.LoggedIn个事件。问题是每个页面上都不存在该控件;它所在的一个页面（Login.aspx）不会调用OnLoggedIn事件。

与Global.asax具有全局会话开始通知的方式相同：

void Session_Start(object sender, EventArgs e) 
{
}

我假设有一个 On User Logged In 通知：

void LoggedIn(object sender, EventArgs e)
{
}

奖金阅读

OnLoggedIn event on Login page ASP.NET
Run custom code on login
MDSN Logon.OnLoggedIn event
如果设置“记住我”，如何更新上次登录日期？

Answer 1

我认为你没有一个独特的地方可以做到这一点。在我的情况下（MVC + log4net）我用这个：

在Global.asax中，我使用预先存在的Cookie检查经过身份验证的用户。

protected void Session_Start()
{
    string ip = HttpContext.Current.Request.UserHostAddress;

    log.InfoFormat("Starting session: {0} from {1}.",Session.SessionID, ip);

    if ((HttpContext.Current != null) &&
        (HttpContext.Current.User != null) &&
        (HttpContext.Current.User.Identity.IsAuthenticated) )
    {
        string user = HttpContext.Current.User.Identity.Name;
        string type = "Cookie";

        log.InfoFormat("User {0} logged in with {1}.", user, type);
    }

}

在我的帐户控制器中，我检查本地登录（我正在使用MVC4中的Internet应用程序模板，但如果您使用的是Web表单，则可以在Login.OnLoggedIn中执行此操作）

[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public ActionResult Login(LoginModel model, string returnUrl)
{
    if (ModelState.IsValid && WebSecurity.Login(model.EMail, model.Password, persistCookie: model.RememberMe))
    {
        string user = model.EMail;
        string type = "Forms";

        log.InfoFormat("User {0} logged in with {1}.", user, type);

        return RedirectToLocal(returnUrl);
    }

    // If we got this far, something failed, redisplay form
    ModelState.AddModelError("", "The user name or password provided is incorrect.");
    log.ErrorFormat("Bad password or user name. User={0}", model.EMail, model.Password);
    return View(model);
}

但我也需要检查OAuth登录，如下所示：

[AllowAnonymous]
public ActionResult ExternalLoginCallback(string returnUrl)
{
    AuthenticationResult result = OAuthWebSecurity.VerifyAuthentication(Url.Action("ExternalLoginCallback", new { ReturnUrl = returnUrl }));
    if (!result.IsSuccessful)
    {
        log.Debug("External login failure.");

        return RedirectToAction("ExternalLoginFailure");
    }

    if (OAuthWebSecurity.Login(result.Provider, result.ProviderUserId, createPersistentCookie: false))
    {
        log.InfoFormat("User {0} logged in with External {1} login. External UserID = {2}",
            Membership.GetUser(OAuthWebSecurity.GetUserName(result.Provider, result.ProviderUserId)).UserName,
            result.Provider,
            result.ProviderUserId);

        return RedirectToLocal(returnUrl);
    }

    ...
}

Answer 2

您可以检查global.asax上的Application_AuthenticateRequest，是否可以检查请求是否与会话数据一起登录，并确定会话数据是否需要初始化，如您所说

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    string cookieName = FormsAuthentication.FormsCookieName;
    HttpCookie authCookie = Context.Request.Cookies[cookieName];

    //  check for logged in or not
    if (null != authCookie)
    {
        // is logged in... check if the session needs init

    }   
}

或与

相同的结果

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    //  check for logged in or not
    if(HttpContext.Current.User != null && 
        HttpContext.Current.User.Identity != null 
            && HttpContext.Current.User.Identity.IsAuthenticated)
    {
        // is logged in... check if the session needs init

    }   
}

Answer 3

您可以在这两个地方调用您的代码：来自OnLoggedIn控件的Login事件以及会话启动时（使用Global.asax中的Session_Start事件），这将是用户数据的第一个请求。在那里，您可以检查用户是否已登录，如果是，请执行您需要的操作。

Answer 4

虽然技术上登录与验证相同，但我有不同的心理模型。

在我看来，以下三件事是不同的问题：

用户有/获得会话
用户已通过身份验证
用户已登录

对我来说，最后一个意思是：“为用户创建了一个会话，用户已经过身份验证，并且已经为经过身份验证的用户初始化了会话。”

使用此模型，用户可以在以下时间登录：

用户登录登录页面，预先存在的会话为用必要的用户数据初始化
预先通过身份验证的用户访问该网站并进行新会话为他/她创建并初始化

同样，用户在他/她的初始化会话被销毁时会被注销。

使用此模型意味着：

您可以在Login.OnLoggedIn事件或Session_Start Global.asax事件中识别用户何时“登录”。当然，会话启动事件也会针对未经身份验证的用户触发，因此您需要在事件触发时验证用户是否已经过身份验证。
您可以通过显式登出或在Global.asax中的Session_End事件中导致正确初始化的会话失败，在某种程度上可靠地判断用户何时“注销”。我说有点可靠，因为我认为当应用程序池在崩溃中回收或死亡时，不一定会触发Session_End事件。虽然我没有测试过，所以我可能错了。
用户可以同时“登录”多次。至少在IE中，您可以从“文件”菜单中启动“新会话”。这启动了一个新的IE，它不与任何预先存在的IE窗口共享会话cookie。这意味着当用户访问该站点时，服务器将创建一个新会话，并且根据所使用的身份验证机制，这可能意味着他/她还必须再次进行身份验证。

它不会让你“列出所有当前登录的用户”开箱即用。你需要创建一种方法来跟踪我自己的想法。这或多或少都很难做到。特别是当您的应用程序在某种负载平衡环境中运行时，获取所有当前用户的列表可能会非常棘手。

ASP.net中的Global OnLoggedIn事件？

奖金阅读

4 个答案: