当浏览器关闭时,自动从ASP.NET中的表单身份验证注销

本文关键字:NET ASP 表单 注销 身份验证 浏览器 | 更新日期: 2023-09-27 18:27:17

当浏览器关闭或用户键入新地址时,是否有方法强制ASP.NET退出其身份验证?

如果浏览器保持打开状态,那么我需要保持用户的身份验证,因此最好在身份验证票证上长时间超时。

当浏览器关闭时,自动从ASP.NET中的表单身份验证注销

不确定这是否仍然是一个问题,但这为我解决了问题。只需将以下内容添加到起始页的Page_Load事件中:

protected void Page_Load(object sender, EventArgs e)
{
    if (Request.UrlReferrer == null || string.IsNullOrEmpty(Request.UrlReferrer.AbsolutePath))
    {
        Session.Abandon();
        FormsAuthentication.SignOut();
        FormsAuthentication.RedirectToLoginPage();
    }
}

我已经为此工作了一段时间,四处阅读并看到了各种帖子和答案、猜测和猜测。

这个解决方案确实有一个重要的警告——弹出窗口("烧死他!!!"我听到你哭了)和JavaScript都是必需的。然而,考虑到您需要如此安全地实现这一点,我大胆猜测,用户会接受这一点来维护安全,并且您可以为启用JavaScript进行编码。

第1步-验证弹出窗口是否已启用-如果未启用,请重定向到有关如何启用 的说明

在Global.asax

设置会话变量以验证是否已检查弹出窗口:

void Session_Start(object sender, EventArgs e)
{
    // Code that runs when a new session is started
    Session["popupsChecked"] = false;
}

在Page.aspx/masterPage.master中

检查会话变量,如果为false(此会话首次访问网站),则注入JavaScript以检查弹出窗口的可用性:

if (!IsPostBack)
{
    if (!(bool)Session["popupsChecked"])
    {
        Page.Header.Controls.Add(new LiteralControl("<script src='"/js/popupCheck.js'" type='"text/javascript'"></script>"));
    }
}

popupCheck.js文件(文件"enablePopups.aspx"是关于如何为有问题的网站启用弹出窗口的说明)

$(function () {
    result = window.open("/static/popupCheck.aspx", "popped", "width=10, height=10, location=no, menubar=no, status=no, toolbar=no, scrollbars=no, resizable=no");
    if (result != null) {
        // Not blocking
        if (window.location.pathname != "/static/enablePopups.aspx") {
            window.location = "/";
        };
    }
    else {
        //blocking
        if (window.location.pathname != "/static/enablePopups.aspx") {
            window.location = "/static/enablePopups.aspx";
        };
    }
});

最后,popupCheck.aspx

<head runat="server">
    <title>Popup Checker</title>
    <script language="javascript" type="text/javascript">
        window.close();
    </script>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        Popup windows are enabled, please close this window.
    </div>
    </form>
</body>
</html>

代码隐藏中有以下内容-这将停止任何进一步的检查,以查看是否启用了弹出窗口:

protected void Page_Load(object sender, EventArgs e)
{
    Session["popupsChecked"] = true;
}

因此,在这一点上,我们现在已经"强迫"用户为该网站启用弹出窗口-如上所述,在我看来,网站内容应该证明这种烦恼是合理的

第2步-检查他们要去的地方,如果他们不在,弹出注销

在你的主javascript块、文件、数据中,或者你现在正在做的事情中,天

var siteLinkClicked = false;
var isAuthenticated = false;
$(function() {
   // Check if user is authenticated
   if ($("#someElementThatOnlyAppearsWhenLoggedIn").length) { isAuthenticated = true; };
   // Check if any of the links clicked are in the site 
    $("a, input").click(function () { // -- You may need more then "a" and "input" tags, or exceptions
        siteLinkClicked = true;
    });
    $(window).bind("beforeunload", function (event) {
        if (siteLinkClicked == false && isAuthenticated == true) {
        // popup the logout page
        window.open("/popupLogout.aspx", "popupLogout", "status=0,location=0,directories=0,menubar=0,scrollbar=0,resizable=0,width=400,height=200")
        };
    });
});

以及popupLogout.aspx

我们有一些javascript来检查父(打开器)位置,如果它与此弹出窗口相同(即用户单击了刷新-或者您错过了siteLinkClicked的元素),那么只需关闭窗口而不执行任何操作:

$(function () {
    setTimeout(checkParent, 5000); // Give some time for the new window to load if they've navigated away - A counter could be added, logging off in 5... 4... 3... You get the idea.
    window.blur(); // And stick this to the back
});
function checkParent() {
    var openerLocation = null;
    try {
        openerLocation = window.opener.location.hostname
    } catch (e) {
        openerLocation = null;
    }
    if (openerLocation == window.location.hostname) {
        window.close();
    } else {
        $("#<%= cmdLogout.ClientID %>").click();
        // setTimeout(window.close(), 1000); // Removed and add a redirect to static "loggedOut.html page
    };        
};

如果位置不同/未定义,则点击按钮,然后关闭窗口:

<asp:Button Text="logout..." runat="server" ID="cmdLogout" OnClick="cmdLogout_click" />

然后按钮触发以下代码:

protected void cmdLogout_click(object sender, EventArgs e)
{
    System.Web.Security.FormsAuthentication.SignOut();
    Session.Abandon();
    Response.Redirect("~/static/loggedOut.htm"); // Added, can self close if needed in the HTML
}

最终限制重复

如果没有JavaScript或弹出窗口,这种方法将不起作用,至少对我来说,我将在一个安全至关重要的受控环境中工作,因此这种解决方案值得最终用户烦恼。

如果你必须达到这些极端,那么我只能假设数据和应用程序足够敏感,迫使用户必须启用javascript,并且必须启用弹出窗口。

您似乎可以设置一个长的到期时间,并将其设置为不持久,以获得您想要的确切行为。例如:

FormsAuthentication.SetAuthCookie("username", true);

这将其设置为持久,这样当你关闭浏览器时,它将保留cookie,这样即使他们关闭浏览器并再次加载你的网站,它也会使他们在没有过期的情况下不必登录。

另一方面:

FormsAuthentication.SetAuthCookie("username", false);

这将cookie设置为不持久。当您关闭浏览器时,cookie会被删除,从而在下次加载时强制登录,无论是否已过期。有关此处的更多信息,请参阅FormsAuthentication.SetAuthCookie

相关文章: