如何强制注销网站的所有用户？答案

【问题标题】：How can I force a log out of all users for a website?如何强制注销网站的所有用户？
【发布时间】：2011-07-26 04:53:18
【问题描述】：

我正在使用 MySQL Connector/.NET，它的所有提供程序都带有 FormsAuthentication。

我需要所有用户在某个时刻退出。 FormsAuthentication.SignOut() 方法不像我想要的那样工作。

如何注销所有站点用户？

【问题讨论】：

您是否要使应用程序脱机？然后看看使用“app_offline.htm”文件。 weblogs.asp.net/scottgu/archive/2005/10/06/426755.aspx
我不确定是否有一个简单的方法来完成此任务，但如果您忽略某个日期之前的所有会话 cookie 并将该日期存储在数据库中怎么办？
@rcravens：不，我只想重置所有用户的身份验证。
@Joe：好的，这是个好主意。但是如何设置这个 cookie 过滤器来忽略呢？我使用 FormsAuthentication。它是自动运行的。
我已经有将近一年没有编写 ASP .net 应用程序了，但是在身份验证过程中有一些覆盖点，您可以在其中读取 cookie 并确定它是否有效。我自己做过这个，但我一直在寻找一个很好的例子。

标签： c# mysql asp.net-mvc

【解决方案1】：

正如 Joe 建议的那样，您可以编写一个 HttpModule 来使给定 DateTime 之前存在的任何 cookie 无效。如果你把它放在配置文件中，你可以在必要时添加/删除它。例如，

Web.config：

<appSettings>
  <add key="forcedLogout" value="30-Mar-2011 5:00 pm" />
</appSettings>

<httpModules>
  <add name="LogoutModule" type="MyAssembly.Security.LogoutModule, MyAssembly"/>
</httpModules>

MyAssembly.dll 中的 HttpModule：

public class LogoutModule: IHttpModule
{
    #region IHttpModule Members
    void IHttpModule.Dispose() { }
    void IHttpModule.Init(HttpApplication context)
    {
        context.AuthenticateRequest += new EventHandler(context_AuthenticateRequest);
    }
    #endregion


    /// <summary>
    /// Handle the authentication request and force logouts according to web.config
    /// </summary>
    /// <remarks>See "How To Implement IPrincipal" in MSDN</remarks>
    private void context_AuthenticateRequest(object sender, EventArgs e)
    {
        HttpApplication a = (HttpApplication)sender;
        HttpContext context = a.Context;

        // Extract the forms authentication cookie
        string cookieName = FormsAuthentication.FormsCookieName;
        HttpCookie authCookie = context.Request.Cookies[cookieName];
        DateTime? logoutTime = ConfigurationManager.AppSettings["forcedLogout"] as DateTime?;
        if (authCookie != null && logoutTime != null && authCookie.Expires < logoutTime.Value)
        {
            // Delete the auth cookie and let them start over.
            authCookie.Expires = DateTime.Now.AddDays(-1);
            context.Response.Cookies.Add(authCookie);
            context.Response.Redirect(FormsAuthentication.LoginUrl);
            context.Response.End();
        }
    }
}

【讨论】：

请记住对 web.config 的更改会导致应用重新启动，您应该将强制注销放在其他位置。可能提供一个站点管理页面来设置这个。
同意。这是一个方便的例子。当然有更好的选择：使用管理 UI 将强制注销存储在数据库中；使用时间窗口（forcedLogoutStart、forcedLogoutEnd）来避免多个 web.config 版本；在 app_data 中放置一个文本文件...
为什么 authCookie.Expires 会小于 logoutTime 值？因为我的网站登录可能在接下来的 30 天内有效，在这种情况下如何处理？
@Mou 我想你是想告诉我有一个错误，我应该检查 authcookie.Expires 大于 logoutTime？
@Brett 基本上 authcookie.Expires 日期和时间可能大于或小于 logoutTime ？所以我读了代码，不确定它在任何情况下都有效。如果可能，请在此处更正代码。不要将 authcookie.Expires 与 logoutTime 进行比较。

【解决方案2】：

基于@Bret's 很好的答案。我处理了一些场景，这些场景允许在用户登录（在或之后）配置文件中指定的日期后发生强制注销（无需计算未来的到期日期）。我相信如果 cookie 过期时间在强制注销日期之前，使用他的答案将导致用户不断被注销。此外，我不确定他是如何使用请求中的 cookie 检索 cookie 过期时间的。在我的尝试中，我总是收到 DateTime 默认值，如下所述：ASP.NET cookie expiration time is always 1/1/0001 12:00 AM

所以这里的想法是您需要将 cookie 创建 DateTime 添加到主体（注意：类型应该是可为空的 DateTime。如果已经对站点进行了此更改，这将允许处理正在使用 - 在此之前作为主体不包含此额外字段）。

您像他一样设置 web.config：

<configuration>
  <appSettings>
    <add key="forcedLogout" value="03-Feb-2021 10:46 pm" />
  </appSettings>
</configuration>

要将模块添加到web.config，你需要确定你是否使用application pool integrated mode vs application pool classic mode：

  <system.webServer><!--for integrated mode-->
    <modules>
      <add name="ForceLogoutModule" type="AssemblyName.NameSpace.ForceLogoutModule", AssemblyName />
    </modules>
  </system.webServer>

  <system.web><!--for classic mode-->
     <httpModules>
      <add name="ForceLogoutModule" type="AssemblyName.NameSpace.ForceLogoutModule", AssemblyName />
    </httpModules>
  </system.web>

或者您可以通过编程方式添加模块（在 global.asax 中）：

public static IHttpModule Module = new ForceLogoutModule();
public override void Init()
{
    base.Init();
    Module.Init(this);
}

然后你的 ForceLogout 模块（可以在同一个项目中）：

public class ForceLogoutModule : IHttpModule
{
    #region IHttpModule Members
    void IHttpModule.Dispose() { }
    void IHttpModule.Init(HttpApplication context)
    {
        context.AuthenticateRequest += new EventHandler(context_AuthenticateRequest);
    }
    #endregion


    /// <summary>
    /// Handle the authentication request and force logouts according to web.config
    /// </summary>
    /// <remarks>See "How To Implement IPrincipal" in MSDN</remarks>
    private void context_AuthenticateRequest(object sender, EventArgs e)
    {
        HttpContext context = ((HttpApplication)sender as HttpApplication).Context;
        JavaScriptSerializer serializer = new JavaScriptSerializer();
        string cookieName = FormsAuthentication.FormsCookieName;
        HttpCookie authCookie = context.Request.Cookies[cookieName];
        if (authCookie == null)
            return;
        FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(authCookie.Value);
        CustomPrincipalSerializeModel principal = serializer.Deserialize<CustomPrincipalSerializeModel>(ticket.UserData);
        DateTime logoutTime;
        DateTime cookieCreation = ticket.IssueDate;

        if (!this.TryParseNullableToDate(ConfigurationManager.AppSettings["forcedLogout"], out logoutTime))
            return;


        if (!principal.Expiration.HasValue
            || (principal.Expiration.Value.ToLocalTime() > logoutTime && cookieCreation < logoutTime
            && DateTime.Now >= logoutTime.Date))
        {
            authCookie.Expires = DateTime.Now.AddDays(-1);
            context.Response.Cookies.Add(authCookie);
            context.Response.Redirect(FormsAuthentication.LoginUrl);
            context.Response.End();
        }
    }

    private bool TryParseNullableToDate(string value, out DateTime dateTime)
    {
        DateTime temp;
        if (string.IsNullOrWhiteSpace(value) || !DateTime.TryParse(value, out temp))
        {
            dateTime = DateTime.MinValue;
            return false;
        }

        dateTime = temp;
        return true;
    }
}

【讨论】：