我有一個ASP.Net 4.0應用程序正在使用Forms身份驗證和ActiveDirectoryMembershipProvider。它針對在Windows Server 2008 R2上運行的Active Directory進行身份驗證。用戶更改舊密碼和新密碼後都可以使用
我使用ChangePassword控件來更改密碼。
當用戶更改密碼時,他可以使用舊密碼登錄一段時間。我的客戶認爲這是應用程序的安全問題。有什麼方法可以確保用戶更改後舊密碼不起作用嗎?
編輯: 此外,如果我在Web服務器上執行iisreset,則舊密碼將停止工作。密碼必須某處的Web應用程序緩存
你的意思是在更改和登錄成功後輸入舊密碼?或者用戶在更改密碼後登錄? – 2010-11-09 06:22:54
用戶更改密碼後,她註銷並關閉瀏覽器。她立即打開新的瀏覽器並使用舊密碼登錄。新密碼也適用。 – 2010-11-11 04:44:16
你有沒有解決這個問題?還有另外一個說明清除cookie的線程,但是代碼解決方案會很好。 – 2011-04-07 14:35:10