asp.net-mvc – 如果用户拥有Auth Cookie,则可以登录

发布时间：2020-12-16 06:33:32 所属栏目：asp.Net 来源：网络整理

导读：.Net 4.5.1 / MVC 5.1.2 / Identity 2.0.1 问候, 我需要管理员禁用(不能删除)用户帐户的方法,因此我将LockoutEndDateUTC字段设置为将来的日期,并且我已经将LockoutEnabled字段设置为true,以供所有用户使用.还有另一个SO线程,here,谈论相同的方法.这显然有效,

.Net 4.5.1 / MVC 5.1.2 / Identity 2.0.1

问候,

我需要管理员禁用(不能删除)用户帐户的方法,因此我将LockoutEndDateUTC字段设置为将来的日期,并且我已经将LockoutEnabled字段设置为true,以供所有用户使用.还有另一个SO线程,here,谈论相同的方法.这显然有效,但前提是用户必须输入用户名/密码.

问题在于……如果用户在禁用之前已使用“记住我”功能设置了身份验证cookie,则不会检查锁定,并且所有后续访问都会通过身份验证,并且最终会忽略“锁定”.

首先,我认为这是Identity中的一个错误,我已经在codeplex上记录了一个问题.

第二,有没有更好的方法来禁用版本2.0中的用户？

谢谢！

解决方法

锁定的用户无法登录,但实际上被锁定并不会拒绝现有的cookie,否则恶意用户可能会导致真实用户的cookie被拒绝.当然,如果您确实需要这种行为,只需在登录操作中锁定的用户上调用UpdateSecurityStamp,这将在下次对数据库进行验证时拒绝现有的cookie.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!