2
我使用的是vanilla表單身份驗證。如果我有多個會話作爲同一個用戶打開,並且我在一個會話中更改密碼,則另一個會話仍然會進行身份驗證。更改密碼後FormsAuthentication在會話中仍可使用
我希望第二次會議會再次提示我輸入我的憑證。
我需要將哈希密碼寫入cookie並檢查每個請求以獲取此功能嗎?
似乎像一個安全漏洞給我。
A
回答
2
這是預期的行爲。 FormsAuthentication僅存儲用戶信息(使用其他一些數據來驗證服務器實際上是否生成了該cookie)。 cookie本身就是有效的憑證(或票據或聲明)。如果你擔心這個問題,你應該減少表單cookie有效或潛在的電話回家的時間,以便更頻繁地詢問服務器是否發生了密碼更改,如果是這樣,則執行FormsAuthentication.SignOut()登錄。
也許不是你想要FormsAuthentication做什麼,但它做了什麼。
希望這會有所幫助。
0
正如我在評論中提到的那樣,如果這是您想要的行爲,您需要自己強制執行此操作。這可能與從您自己的「SecureBasePage」派生所有安全頁面一樣簡單。在那個安全頁面中,您可以查詢您的數據庫,查看自用戶獲得授權後密碼是否已更改。
相關問題
- 1. 刪除會話時更改密碼錶
- 2. Rails3用戶更改密碼,如何更改當前會話密碼?
- 3. 使用FormsAuthentication或使用會話
- 4. 在密碼更改後,舊密碼仍然工作在asp.net成員身份
- 5. 如何恢復Facebook會話密鑰後,用戶更改Facebook密碼
- 6. 會員可以更改密碼
- 7. 用戶更改舊密碼和新密碼後都可以使用
- 8. 會話即使失效後仍存在
- 9. FormsAuthentication和會話cookie在Firefox中丟失
- 10. 使用AJAX在Django中更改密碼
- 11. 會員更改密碼
- 12. 即使密碼編碼後,Excel VBA仍會提示輸入密碼
- 13. Netflix不會註銷其他密碼更改的公開會話
- 14. Django會話:修改時更改會話密鑰
- 15. 在更改aspnet成員資格中的密碼格式後更改密碼
- 16. 由於用戶更改了密碼,會話已失效
- 17. 強制用戶在請求新密碼後更改密碼
- 18. 更改密碼在SQL Developer中ORA-28001後,密碼過期
- 19. 使FosUserBundle在更改密碼對話框中不接受相同的密碼
- 20. 使用JPasswordField更改密碼
- 21. 使用AWS.CognitoIdentityServiceProvider更改密碼
- 22. 即使在無效後仍可見會話值
- 23. 在PostgreSQL中更改密碼時打開會話會發生什麼?
- 24. 由於用戶已更改密碼,因此會話已失效 - >無密碼已更改
- 25. 我可以更改FormsAuthentication cookie名稱嗎?
- 26. TOTP:更改每個會話的祕密
- 27. 在PHP中更改密碼
- 28. 在java中更改密碼
- 29. Asp.Net會話在FormsAuthentication之前超時
- 30. Yii2 - 登錄後更改密碼用戶
您必須自己強制執行此操作,而且我不確定它是否值得。一旦通過身份驗證,您的身份就會得到驗證,直到您退出,超時,刪除您的Cookie等爲止。 – peroija
如果筆記本電腦或其他東西被盜,並且使用持久cookie登錄,該怎麼辦?我會假設更改我的密碼將有效地取消所有其他會話的授權。 – mattdwen