我有一个MVC 4应用程序,当表单会话过期时并且用户尝试注销时会出现问题。
例如: 超时设置为5分钟。 用户登录。 用户10分钟内未执行任何操作。 用户点击LogOff链接。 用户收到错误消息:"提供的防伪令牌是为用户“XXXX”准备的,但当前用户是“”。
然后用户必须经过一些变通才能绕过此问题,以便可以重新登录再次注销(注销用于关闭他们当天的时间记录卡)。
我认为我知道为什么会发生这种情况……但不确定如何解决它。
编辑: 我认为发生这种情况的原因是,当页面加载时,AntiForgery令牌是为当前已登录的用户生成的。但当会话过期并且他们尝试导航到注销页面时,当前用户为空而不是实际用户。因此存在不匹配,并呈现错误。
实际上,您可以使用 IExceptionFilter 来处理它,它将重定向到 /Account/Login
public class HandleAntiForgeryError : ActionFilterAttribute, IExceptionFilter
{
#region IExceptionFilter Members
public void OnException(ExceptionContext filterContext)
{
var exception = filterContext.Exception as HttpAntiForgeryException;
if (exception != null)
{
var routeValues = new RouteValueDictionary();
routeValues["controller"] = "Account";
routeValues["action"] = "Login";
filterContext.Result = new RedirectToRouteResult(routeValues);
filterContext.ExceptionHandled = true;
}
}
#endregion
}
[HandleAntiForgeryError]
[ValidateAntiForgeryToken]
public ActionResult LogOff()
{
}
你也可以使用 [HandleError(ExceptionType=typeof(HttpAntiForgeryException)...],但这需要启用 customErrors。
@cem的答案对我非常有帮助,我做了一个小改变来包括使用antiforgerytoken和过期会话的ajax调用场景。
public void OnException(ExceptionContext filterContext)
{
var exception = filterContext.Exception as HttpAntiForgeryException;
if (exception == null) return;
if (filterContext.HttpContext.Request.IsAjaxRequest())
{
filterContext.HttpContext.Response.StatusCode = 403;
filterContext.ExceptionHandled = true;
}
else
{
var routeValues = new RouteValueDictionary
{
["controller"] = "Account",
["action"] = "Login"
};
filterContext.Result = new RedirectToRouteResult(routeValues);
filterContext.ExceptionHandled = true;
}
}
...并且在客户端上,您可以添加全局ajax错误处理程序来重定向到登录屏幕...
$.ajaxSetup({
error: function (x) {
if (x.status === 403) {
window.location = "/Account/Login";
}
}
});