ASP.NET 成员密码过期

Question

我正在使用 ASP.NET 成员身份验证我的 Web 应用程序。这对我很有用。我现在必须实现密码过期。

如果密码已过期，应将用户重定向到ChangePassword 屏幕，并且在不更改密码的情况下不应允许用户访问应用程序的任何其他部分。

有很多aspx页面。如果密码已过期，一种解决方案可能是重定向到每个 aspx 的ChangePassword 屏幕OnInit。有没有其他解决方案或建议。

谢谢， 贾伊

Answer 1

除了csgero's answer，我发现您不需要在 ASP.Net 2.0 (3.5) 中为该事件显式添加事件处理程序。

您可以在global.asax 中简单地创建以下方法，它会为您连接起来：

void Application_PostAuthenticateRequest(object sender, EventArgs e)
{
    if (this.User.Identity.IsAuthenticated)
    {
        // get user
        MembershipUser user = Membership.GetUser();

        // has their password expired?
        if (user != null
            && user.LastPasswordChangedDate.Date.AddDays(90) < DateTime.Now.Date
            && !Request.Path.EndsWith("/Account/ChangePassword.aspx"))
        {
            Server.Transfer("~/ChangePassword.aspx");
        }
    }
}

Answer 2

您可以在 global.asax 中为 HttpApplication.PostAuthenticateRequest 事件添加事件处理程序并在那里处理重定向。

Answer 3

除了Andrew's answer，我发现您需要检查用户是否已经在更改密码页面上，否则他们将永远无法真正更改密码，因此永远不要离开更改密码站点：

void Application_PostAuthenticateRequest(object sender, EventArgs e)
    {
        if (this.User.Identity.IsAuthenticated)
        {
            // get user 
            MembershipUser user = Membership.GetUser();

            // has their password expired? 
            if (user != null
                && user.LastPasswordChangedDate.AddMinutes(30) < DateTime.Now
                && !Request.Path.EndsWith("/Account/ChangePassword.aspx"))
            {
                Server.Transfer("~/Account/ChangePassword.aspx");
            }
        }
    } 

Answer 4

大约一个小时就实现了这个，不需要修改你的基本页面。以下是你必须做的：

1. 响应成员控制的LoggingIn事件

2. 在会员数据库中找到用户，获取LastPasswordChangedDate

3. 使用 TimeSpan，将其与当前日期进行比较，并确定上次更改密码的时间是否超过所需天数。我从 web.config 得到这个值

4. 如果过期，重定向到ChangePassword屏幕

Answer 5

我来这里是为了寻找解决方案，但我目前的技术是 ASP.NET MVC。所以为了帮助别人：你可以扩展AuthorizeAttribute，并覆盖OnAuthorization方法，像这样：

public class ExpiredPasswordAttribute : AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        IPrincipal user = filterContext.HttpContext.User;

        if(user != null && user.Identity.IsAuthenticated)
        {
            MembershipUser membershipUser = Membership.GetUser();

            if (PasswordExpired) // Your logic to check if password is expired...
            {
                filterContext.HttpContext.Response.Redirect(
                    string.Format("~/{0}/{1}?{2}", MVC.SGAccount.Name, MVC.SGAccount.ActionNames.ChangePassword,
                    "reason=expired"));

            }
        }

        base.OnAuthorization(filterContext);
    }
}

注意：我使用T4MVC 来检索上面代码中的Controller 和Action 名称。

用这个属性标记除“AccountController”之外的所有控制器。这样做，密码过期的用户将无法浏览该网站。

这是我在该主题上发表的一篇文章，并获得了一些奖励：

User Password Expired filter attribute in ASP.NET MVC

Answer 6

我使用了上面的代码，只是稍微修改了它以使用 .NET 身份提供程序在 Asp.NET (4.5) MVC5 中实现。把它留在这里给下一个人/gal :)

void Application_PostAuthenticateRequest(object sender, EventArgs e)
    {
        if (this.User.Identity.IsAuthenticated)
        {
            WisewomanDBContext db = new WisewomanDBContext();

            // get user
            var userId = User.Identity.GetUserId();
            ApplicationUser user = db.Users.Find(userId);

            // has their password expired?
            if (user != null && user.PasswordExpires <= DateTime.Now.Date
                && !Request.Path.EndsWith("/Manage/ChangePassword"))
            {
                Response.Redirect("~/Manage/ChangePassword");
            }

            db.Dispose();
        }
    }