我们发现 DNN 中没有放弃会话的问题。我不确定这是否是 4.5.x 问题,因为我们不久前升级到 5.x 并且可能引用了旧控件。
我们在模块中引用的登录/注销控件是 DotNetNuke.UI.Skins.Controls.Login,位于路径 DNN_Web_Root/admin/Skins/login.ascx
在那里,它看起来像是重定向到 logoff.aspx,然后通过 LogoffHttpHandler,然后到某个地方完成注销过程,但是我找不到该过程在哪里查看是否正在调用 Session.Abandon。
谁能回答以下问题:
【问题讨论】:
标签: session dotnetnuke logoff
注销通常由 Desktopmodules\Admin\Authentication\Logoff.ascx 处理。主要操作是清除身份验证 cookie,以及一些其他 cookie 和一些用户特定的缓存数据。
DotNetNuke 从不将 Session 用于任何事情,并且在注销期间不会清除 Session。
【讨论】:
看起来 Dan Rowe 对下面的代码有点运气:
Response.Redirect(Globals.NavigateURL(TTSRoutines.giPunchinPage, "Logoff"), True)
【讨论】:
我假设您担心的威胁是共享计算机环境场景,其中有人注销但没有关闭浏览器,而下一个用户坐下并能够访问由于会话变量而不应访问的内容还在闲逛20分钟左右?
如果您必须使用会话,一种解决方法是简单地检查
System.Web.HttpContext.Current.User.Identity.IsAuthenticated
在您担心未登录用户利用之前登录用户的会话变量的任何地方。
话虽这么说 - 按照@ScottS 的建议在 Logoff 中调用 Session.Abandon() 可能是最简单的方法,尽管此选项在托管环境中可能不可用。
【讨论】: