Question

我正在开发一个C＃MVC应用程序，我似乎无法获得身份验证和会话超时来同步。我有一个基本的表单身份验证设置和一些有限的会话值。我将身份验证超时设置为小于会话（28分钟对30），但是对开发Web服务器运行时，会在重新启动服务器时擦除会话，但身份验证仍然存在。我假设认证存储在一个cookie中，显然可以在服务器重启后继续存在。

<authentication mode="Forms" >
  <forms loginUrl="~/Account/Login" timeout="28" />
</authentication>
<sessionState timeout="30" />

我想如果Session为null，我想强制认证超时，然后强制登录。

那是我真正想做的吗？如果是这样，我该怎么做？

如果没有，处理此问题的正确方法是什么？

修改

对于更多观点，我还针对同一项目发布了此问题：Login as... best practices?

Answer 1

我找到了答案。覆盖Authorize属性。这似乎是最优雅的方法：

public class AuthorizeWithSessionAttribute : AuthorizeAttribute
{
    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        if (httpContext.Session == null || httpContext.Session["CurrentUser"] == null)
            return false;

        return base.AuthorizeCore(httpContext);
    }

}

Answer 2

您可以使用PreRequestHandlerExecute事件处理程序

在global.asax中处理此问题

protected void Application_PreRequestHandlerExecute(object sender, EventArgs e)
    {
        //Check if user is authenticated
        HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];
        if (authCookie != null)
        {
            FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);
            if (!authTicket.Expired)
            {
                if (Session["XYZ"] == null)
                {
                    //Session is null, redirect to login page
                    FormsAuthentication.SignOut();
                    Response.Redirect(FormsAuthentication.LoginUrl, true);
                    return;
                }
            }
        }
    }

或者，您可以编写Httpmodule并实现context_AuthenticateRequest来检查会话是否存在并相应地处理请求。

希望有所帮助。

由Valamas编辑

有关会话错误的帮助，请参阅答案https://stackoverflow.com/a/1446575/511438。

MVC会话到期但不是身份验证

2 个答案: