C＃安全令牌錯誤3242

Question

我有一個程序，其中用戶基地在Active Directory中。它使用ADFS作爲AD和我的程序之間的中介。我使用C＃安全令牌從ADFS得到有效令牌一旦一個人試圖登錄

如果登錄嘗試某種原因失敗時，我收到一個錯誤3242

{「ID3242：安全令牌無法進行身份驗證或授權。「}

當我輸入錯誤的用戶名或密碼錯誤或密碼在Active Directory中過期時，會發生這種情況。

如果用戶登錄失敗，我希望能夠給他們一個更好的錯誤信息，說明他們爲什麼無法登錄。這將是理想的告訴他們，他們的密碼已過期（如果是），並可能提供有關如何重置它的指示等。

所以我對你的問題都是這樣的：當使用C＃SecurityToken對象，如何在登錄失敗時向用戶提供更好的錯誤消息？

我對這些概念很陌生，所以我提前道歉了一些細小的細節。這篇文章是我把我的觸角伸出去，看看有沒有人能指出我的好方向。提前感謝您的時間和回覆。

Answer 1

您的問題是關於「過期的密碼」，而您的評論是指「過期的帳戶」。他們是非常不同的野獸！

過期密碼 - ms-DS-User-Account-Control-Computed attribute

到期帳戶：

principalContext = GetPrincipalContext(ldapOU); 
userPrincipal = new UserPrincipal(principalContext); 
DateTime date = userPrincipal.AccountExpirationDate; 

會給你的日期，然後簡單地比較。

Answer 2

你不能讓錯誤消息行爲本身是任何不同的。但是，如果用戶存在，帳戶被禁用，並且帳戶過期，則可以捕獲異常並查詢AD以剝離用戶，然後將原始異常包裝在新的異常中，以提供額外的詳細信息並拋出該異常。但是，提供有關是否是用戶名或密碼不好的信息通常也不是一個好主意，因爲攻擊者可以使用它來獲取有關係統的有用信息。正是出於這個原因，錯誤信息首先不會返回這些信息。當用戶報告問題時，管理員可以隨時檢查帳戶。