Bir ASP.NET kullanıcısı programsal olarak oturum kapatma

Question

Uygulamam, bir yöneticinin kullanıcı hesaplarını askıya almasına/askıya almasına izin verir. Aşağıdaki kod ile bunu:

MembershipUser user = Membership.GetUser(Guid.Parse(userId)); 
user.IsApproved = false; 
Membership.UpdateUser(user); 

kullanıcıyı askıya ince yukarıdaki çalışır, ancak bu onların oturumu iptal etmez. Sonuç olarak, askıya alınan kullanıcı, oturum çerezleri kaldığı sürece uygulamaya erişim sağlayabilir. Düzeltme/

Answer 1

Bazı ortak sayfalarda, hesabın geçerli olup olmadığını kontrol edin ve iptal edilmişse, Session.Abandon() numaralı telefonu arayın.

Düzenleme (Sadece bu hala açık olduğunu fark ettim.) Bunu yapmak için

Ben, bu işleri biliyorum.

Ana sayfada, hesap durumunu kontrol edin. Bu, numaralı tüm navigasyonlarda anlamına gelir.

(Final) Düzen

olarak düşünmek "Ben, onların oturumu sonlandırma ediyorum" olarak düşünmek etmeyin "oturum kendini sonlandırır."

Answer 2

Eğer form kimlik doğrulaması kullanarak: 'dışında' oturumdan bir oturumu iptal yolu yoktur

FormsAuthentication.SignOut(); 

Answer 3

bu. Her sayfa yüklemesinde veritabanını kontrol etmeniz ve hesabın devre dışı bırakılması durumunda oturum açmanız gerekir. Bunu bir HttpModule kullanarak da başarabilirsiniz, bu da işleri biraz daha temiz hale getirir. Örneğin

:

public class UserCheckModule : IHttpModule 
{ 
    public void Init(HttpApplication context) 
    { 
     context.PreRequestHandlerExecute += new EventHandler(OnPreRequestHandlerExecute); 
    } 

    public void Dispose() {} 

    private void OnPreRequestHandlerExecute(object sender, EventArgs e) 
    { 
     // Get the user (though the method below is probably incorrect) 
     // The basic idea is to get the user record using a user key 
     // stored in the session (such as the user id). 
     MembershipUser user = Membership.GetUser(Guid.Parse(HttpContext.Current.Session["guid"])); 

     // Ensure user is valid 
     if (!user.IsApproved) 
     { 
      HttpContext.Current.Session.Abandon(); 
      FormsAuthentication.SignOut(); 
      HttpContext.Current.Response.Redirect("~/Login.aspx?AccountDisabled"); 
     } 
    } 
} 

Bu tam bir örnek ve adapte edilmesi gerekecektir oturumda saklanan bir anahtar kullanılarak kullanıcı getirilirken yöntemi değildir, ancak bu başlangıç ​​almalısınız. Kullanıcı hesabının hala aktif olduğunu kontrol etmek için her bir sayfa yüküne ek bir veritabanı kontrolü eklenecektir, ancak bu bilgiyi kontrol etmenin başka bir yolu yoktur.

Answer 4

Bir kullanıcı oturumu kapattığınızda, FormsAuthenticationTicket'un üzerine yazmak da iyi bir fikirdir.

HttpContext context = HttpContext.Current; 

//overwrite the authentication cookie 
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, context.User.Identity.Name, DateTime.Now, DateTime.Now.AddDays(-1), false, Guid.NewGuid().ToString()); 
string encrypted_ticket = FormsAuthentication.Encrypt(ticket); 

HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encrypted_ticket); 
cookie.Expires = ticket.Expiration; 
context.Response.Cookies.Add(cookie); 

//clear all the sessions 
context.Session.Abandon(); 

//sign out and go to the login page 
FormsAuthentication.SignOut(); 
FormsAuthentication.RedirectToLoginPage();