我有一个ASP.Net 4.0 Web App。我试图建立一个“记住我14天”的要求。在那段时间之后,我想强迫他们重新登录。
所以我的问题是如何做到这一点。我正在考虑创建自己的HttpModule并将其挂钩到PostAuthenticateRequest事件中。在这种情况下,我将检查当前主体是否未被正常的FormsAuthenticationModule验证。如果没有,我会查看从浏览器返回的auth票证,看看它是否包含我的UserData。票证中的我的UserData将使用他们用于成功验证的密码。
我的问题:
我必须将他们用过的密码添加到每个回复中吗?正常的FormsAuthenticationModule会不断更改发送到浏览器的票证,以使用户的会话保持活动状态。那么我最好的位置是插入管道,以便为每个响应连续添加到每个auth票证?如果FormsAuthenticationModule已经在构建故障单,构建cookie并加密它,我是否必须覆盖该逻辑并自己完成所有这些操作?
谢谢
答案 0 :(得分:0)
引用“故障单中的我的UserData将使用他们用于成功进行身份验证的密码。” 不确定其余的,但不信任来自客户端的任何数据,可以修改cookie并将密码存储在cookie中是不行的,那么多用户系统呢?