我的问题如下。假设我有一个管理页面,管理员用户可以禁用其他用户的帐户-将IsActive属性设置为false。同时假设被禁用的用户实际上是当前登录的用户。如果他被拒绝访问权限,我不希望这个用户能够继续浏览网站。
如何杀死他的会话,意味着销毁他的FormsAuthentication cookie?这样做是否正确,还是SimpleMembership中还有其他内容我没有注意到?实现此任务的正确方法是什么?任何建议都将不胜感激...
string cacheKey = "RecentlyDeletedUserId" + userId;
Cache.Add(
cacheKey,
true,
null,
DateTime.Now.AddDays(1),
null,
CacheItemPriority.Normal,
null
);
2) 在global.asax中,您可以添加Application_AuthenticateRequest处理程序,在服务器成功接收表单身份验证票证后,它会在每个请求后触发。 在此处理程序中,您可以进行一次廉价的内存缓存请求,以查看该用户是否在最近删除的用户列表中。 如果是,则登出并将其重定向到登录页面。
protected void Application_AuthenticateRequest(object sender, EventArgs e) {
string cacheKey = "RecentlyDeletedUserId" + userId;
if (Cache[cacheKey] != null)
{
FormsAuthentication.SignOut();
FormsAuthentication.RedirectToLoginPage();
}
}
protected void Application_AuthenticateRequest(object sender, EventArgs e) {
string cacheKey = "RecentlyDeletedUserId" + userId;
if (Cache[cacheKey] != null)
{
IPrincipal anonymousPrincipal = new GenericPrincipal(new GenericIdentity(String.Empty), null);
Thread.CurrentPrincipal = anonymousPrincipal;
HttpContext.Current.User = anonymousPrincipal;
}
}
这只是将用户替换为匿名用户,以确保用户无法在您的站点上执行任何操作。(这种替代方法来自Invalidating ASP.NET FormsAuthentication server side)。
Thread.CurrentPrincipal = anonymousPrincipal和HttpContext.Current.User = anonymousPrincipal;的含义是什么?这代表着注销吗? - Thomas