我有一个使用Forms Authentication和ActiveDirectoryMembershipProvider的ASP.Net 4.0应用程序。它针对在Windows Server 2008 R2上运行的Active Directory进行身份验证。
我使用ChangePassword控件来更改密码。
当用户更改密码时,他可以使用旧密码登录一段时间。我的客户认为这是应用程序的安全问题。有没有办法确保旧密码在用户更改后无效?
编辑: 此外,如果我在Web服务器上执行iisreset,旧密码将停止工作。密码必须缓存在Web应用程序的某个地方
答案 0 :(得分:3)
http://support.microsoft.com/kb/906305/en-us - 这适用于Server 2003 SP1 +,但也可能适用于Server 2008
答案 1 :(得分:0)
我不确定你是否仍然需要这个问题的解决方案,但是你的控制器很可能没有注册表值OldPasswordAllowedPeriod,或者它确实将它设置为5分钟。 Phil指出的文章(http://support.microsoft.com/kb/906305)概述了如何实现它。希望这有帮助