Đăng xuất theo lập trình một người dùng ASP.NET

Question

Ứng dụng của tôi cho phép quản trị viên tạm ngưng/hủy tạm ngưng tài khoản người dùng. Tôi thực hiện điều này bằng mã sau:

MembershipUser user = Membership.GetUser(Guid.Parse(userId)); 
user.IsApproved = false; 
Membership.UpdateUser(user); 

Điều trên làm tốt để tạm ngừng người dùng nhưng không thu hồi phiên của họ. Do đó, người dùng bị treo có thể tiếp tục truy cập vào ứng dụng miễn là cookie phiên của họ vẫn còn. Mọi sửa chữa/

Answer 1

Trên một số trang phổ biến, hãy kiểm tra xem tài khoản có hợp lệ không và nếu tài khoản bị thu hồi, hãy gọi Session.Abandon().

Sửa (Chỉ cần nhận thấy điều này vẫn còn mở cửa.)

Tôi biết điều này, bởi vì tôi làm điều đó.

Trên trang chính, hãy kiểm tra trạng thái tài khoản. Điều đó có nghĩa là trên mọi điều hướng bạn có cơ hội đăng xuất chúng.

(Final) Sửa

Đừng nghĩ về nó như "Tôi chấm dứt phiên họp của họ", nghĩ về nó như "phiên của họ chấm dứt riêng của mình."

Answer 2

Nếu sử dụng hình thức xác thực:

FormsAuthentication.SignOut(); 

Answer 3

Không có cách nào để từ bỏ một phiên làm việc từ phiên 'bên ngoài' này. Bạn sẽ phải kiểm tra cơ sở dữ liệu trên mỗi lần tải trang và nếu tài khoản đã bị vô hiệu hóa, thì hãy đăng xuất. Bạn có thể đạt được điều này bằng cách sử dụng một HttpModule quá, mà sẽ làm cho mọi thứ sạch hơn một chút.

Ví dụ:

public class UserCheckModule : IHttpModule 
{ 
    public void Init(HttpApplication context) 
    { 
     context.PreRequestHandlerExecute += new EventHandler(OnPreRequestHandlerExecute); 
    } 

    public void Dispose() {} 

    private void OnPreRequestHandlerExecute(object sender, EventArgs e) 
    { 
     // Get the user (though the method below is probably incorrect) 
     // The basic idea is to get the user record using a user key 
     // stored in the session (such as the user id). 
     MembershipUser user = Membership.GetUser(Guid.Parse(HttpContext.Current.Session["guid"])); 

     // Ensure user is valid 
     if (!user.IsApproved) 
     { 
      HttpContext.Current.Session.Abandon(); 
      FormsAuthentication.SignOut(); 
      HttpContext.Current.Response.Redirect("~/Login.aspx?AccountDisabled"); 
     } 
    } 
} 

Đây không phải là một ví dụ hoàn chỉnh, và các phương pháp lấy người dùng sử dụng một phím được lưu trữ trong phiên sẽ cần phải được điều chỉnh, nhưng điều này sẽ giúp bạn bắt đầu. Nó sẽ liên quan đến kiểm tra cơ sở dữ liệu bổ sung trên mỗi lần tải trang để kiểm tra xem tài khoản người dùng vẫn hoạt động, nhưng không có cách nào khác để kiểm tra thông tin này.

Answer 4

Khi bạn đăng xuất người dùng, bạn cũng nên ghi đè lên FormsAuthenticationTicket.

HttpContext context = HttpContext.Current; 

//overwrite the authentication cookie 
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, context.User.Identity.Name, DateTime.Now, DateTime.Now.AddDays(-1), false, Guid.NewGuid().ToString()); 
string encrypted_ticket = FormsAuthentication.Encrypt(ticket); 

HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encrypted_ticket); 
cookie.Expires = ticket.Expiration; 
context.Response.Cookies.Add(cookie); 

//clear all the sessions 
context.Session.Abandon(); 

//sign out and go to the login page 
FormsAuthentication.SignOut(); 
FormsAuthentication.RedirectToLoginPage();