關於保持用戶「最後的IP地址」的建議

Question

首先，這不是一個關於的問題如何獲取用戶的IP地址，因爲我知道該怎麼做。

基本上，我的網站（ASP.NET MVC 3 Web應用程序）的管理員需要能夠阻止某個IP地址提交用戶內容。所以我在我們的系統中存儲了針對用戶的「IP地址」。涼。

我的問題是：

時（例如在什麼時間，頁面生命週期事件），我應該檢查用戶當前的IP地址，並保存到數據庫中？

此刻，我正在考慮使用會話。也就是說，當我第一次創建會話時（例如Session_OnStart()），請抓住用戶的IP地址並將其保存在會話中。然後，當會話結束時（例如Session_OnEnd()），我看到會話中的IP地址是否與數據庫的IP地址不同。如果是，更新數據庫。

在我們使用是InProc時刻，但有一個很好的機會，我們會去的StateServer以後 - 和MSDN指出的Session_OnEnd只適用於是InProc。所以這可能是一個問題。

這種方法的任何想法/替代方案？

編輯

所以我試圖用Session_OnStart()嘗試做以下事情：

如果用戶通過認證，獲得他們的IP地址，從數據庫中獲取他們的最後一個IP，如果他們不同，更新數據庫。

但問題似乎是：Session_OnStart運行以前Application_AuthenticateRequest - 所以它從來沒有經過「被認證」檢查。

一個很好的例子是，如果用戶登錄到我的網站 - 使用Forms Auth，它設置一個有效期限爲一週的cookie（例如）。

然後幾天後他們回來了 - Session_OnStart被解僱 - 但他們還沒有通過身份驗證。即使cookie存在 - 它尚未處理到http上下文中。

因此，Session_OnStart看起來像一個沒有去 - 任何其他的想法？

Answer 1

因爲它是asp.net MVC，你希望它針對所有的要求運行，我會考慮考慮使用一個全球行動過濾器像這裏所描述的一個http://weblogs.asp.net/gunnarpeipman/archive/2010/08/15/asp-net-mvc-3-global-action-filters.aspx

Answer 2

會不會有在短短的登錄問題ip在會話開始時而不是結束？就像你說的那樣，在會話期間ip不會改變。

Answer 3

我猜你正在做數據庫中的比較，看你的問題。

爲了簡單起見，我的建議是在web.config中保留阻止列表，並在需要時比較傳入的ID。

如果您需要將阻止列表保存在數據庫中，我會說使用緩存類緩存阻止列表一段合理的時間，並將ip與代碼中的阻止列表進行比較，而不是在數據庫中。

Answer 4

已接受@ lomaxx的答案 - 但認爲我會爲他人添加我自己的，以及爲什麼這是必需的推理。

解決方案：對每個請求執行的全局操作過濾器。

（簡體）代碼：

public class UserTrackingFilterAttribute : ActionFilterAttribute 
{ 
    public override void OnResultExecuted(ResultExecutedContext filterContext) 
    { 
     // If the user isn't authenticated or we have already tracked IP this session, bubble back up to base context. 
     if (!Authenticated || HaveTrackedIpAddressThisSession) 
     { 
      base.OnResultExecuted(filterContext); 
      return; 
     } 

     // Get the users current ip address. 
     var currentIp = HttpContext.Current.Request.CurrentIpAddress(); // extension method to read server variables, cater for proxy, etc 

     // Get the users last known ip address from repository. 
     var userService = ObjectFactory.GetInstance(typeof(IUserService)) as IUserService; 
     var unitOfWork = ObjectFactory.GetInstance(typeof(IUnitOfWork)) as IUnitOfWork; 
     if (userService == null || unitOfWork == null) return; 

     // See if the user's ip has changed. 
     var currentUser = userService.FindById(CurrentUserId); 
     if (currentUser == null || (currentUser.LastIpAddress != null && IPAddress.Parse(currentUser.LastIpAddress).Equals(currentIp))) 
     { 
      // User cannot be found or IP hasn't changed - set session key and bubble back up to base context. 
      HaveTrackedIpAddressThisSession = true; 
      base.OnResultExecuted(filterContext); 
      return; 
     } 

     // User's ip has changed - update ip address. 
     currentUser.LastIpAddress = currentIp.ToString(); 

     // Save. 
     userService.Save(currentUser); 

     // Commit. 
     unitOfWork.Commit(); 

     // Update session key. 
     HaveTrackedIpAddressThisSession = true; 
    } 
} 

「CurrentUserId」 和 「HaveTrackedIpAddressThisSession」 是私有屬性來縮短該方法的代碼。基本上他們分別閱讀HttpContext.Current.User.Identity和HttpContext.Current.Session["someKey"]。

爲什麼我需要一個全球行動過濾器在一個Global.asax事件：，因爲我的邏輯需要一個Http主體存在，我不能在那個時候使用Session_OnStart以來，窗體身份驗證Cookie尚未解密成主要身份。因此，儘管這會在每個頁面請求上運行，但會話「標誌」緩解了這種開銷。