ASP ASPXAUTH Authentifizierungs-cookie nicht gelöscht, Sie auf anmelden/Abmelden

Ich bin mit ASP-Authentifizierung und die integrierten webservice.

Den Benutzernamen mit Forms-Authentifizierung über eine login-Seite.

Melden Sie sich, ich rufen Sie die Authentifizierungs-webservice von Silverlight und rufen logout.

Alles funktionierte OK, aber jetzt mal IE wird verrückt und nicht sich der Benutzer nicht mehr.

Ich verwendet Fiddler und es stellt sich heraus, dass der authentication service gibt einen SetCookie klar, das ASPXAUTH cookie, aber auf dem nächsten Aufruf von IE immer noch ist der cookie gesetzt werden.

So natürlich, weil das cookie vorhanden wird der Benutzer authentifiziert und protokolliert sofort wieder, anstatt direkt auf die einloggen-Seite.

Habe ich überprüft und sehe keine andere Beschreibung des Problems.
Ich kann es nicht reproduzieren und meine Kollegen, die haben eine fehlerhafte IE haben es gut funktioniert auf einer Umgebung und nicht auf den anderen (man hat das Problem für DEV und andere hat das Problem mit dem PreProd-server).

Idee, an was kann Los sein?

Ein häufiges problem ist, dass der cookie wird gesetzt in einen Kontext und versucht zu löschen von anderen. E. g. sicherstellen, dass der Pfad und domain-Attribute, die auf die Löschung Set-Cookie-header genau mit denen übereinstimmen, die auf dem ursprünglichen Set-Cookie nennen.
Leider, wie ich schon sagte, ich habe keine Kontrolle über diese. Ich nenne FormsAuthentication.RedirectFromLogin, um das cookie aus und rufen Sie den webservice-LogOut-Methode.

InformationsquelleAutor R4cOOn | 2010-12-08

Ich hatte dieses Problem, und stellen Sie sicher, der Benutzer wird abgemeldet, jetzt verwende ich das folgende Stück code:

        FormsAuthentication.SignOut();

        //Drop all the information held in the session
        Session.Clear();
        Session.Abandon();

        //clear authentication cookie
        HttpCookie cookie1 = new HttpCookie(FormsAuthentication.FormsCookieName, "");
        cookie1.Expires = DateTime.Now.AddYears(-1);
        Response.Cookies.Add(cookie1);

        //clear session cookie
        HttpCookie cookie2 = new HttpCookie("ASP.NET_SessionId", "");
        cookie2.Expires = DateTime.Now.AddYears(-1);
        Response.Cookies.Add(cookie2);

        //Redirect the user to the login page
        Response.Redirect("YourLoginPage.aspx", true);

Dieser funktioniert. Ich hatte ein Problem, wo die asp:LoginStatus-code nicht richtig, flush, aber umleiten würde, um sich anzumelden.aspx, so steckte ich diesen code in das page_init-Funktion und getestet für den login durch, wenn (Kontext.Benutzer.Identität.IsAuthenticated) - an diesem Punkt der cookies bekam richtig gespült. {

InformationsquelleAutor Adam Vigh

2

Um dieses Problem zu vermeiden, der moment, Sie machen die SignOut, dann der nächste Anruf muss mit Redirect(pageLogOut, wahr); und beenden Sie alle anderen Aktivitäten, bis seine vollständig umleiten. Der parameter true ist sehr wichtig.

Nach dem Aufruf der SignOut(), müssen Sie zwingen, den browser zu leeren, die cookies-Daten, weil wenn authenticate-request wieder das cookie dann aus irgendeinem Grund das cookie bekommen mehr Zeit, um zu Leben und nicht löschen Sie es aus dem browser, wie Sie Fragen, für die sich SigntOut Befehl.

So, nachdem die SignOut, stellen Sie eine Umleitung zu einer Seite oder stellen Sie sicher, dass Sie Spülen Sie die cookies, um den browser und nicht wieder Fragen nichts, die haben zu tun mit der Authentifizierung der Benutzer, bis die cookies sind Total schreiben Sie an den browser.

Hoffe, dass dies helfen.
- MSDN empfiehlt redirect mit false then call CompleteRequest um zu verhindern, dass ThreadAbortException. Sie erwähnen die Leistung als gut, aber habe ich noch nicht getestet. Aus MSDN - Antwort-Redirect: Wenn Sie true angeben, für die endResponse parameter, diese Methode ruft die End-Methode für die ursprüngliche Anforderung, die löst eine ThreadAbortException-Ausnahme, wenn es abgeschlossen ist. Diese Ausnahme hat einen negativen Effekt auf die Leistung von Webanwendungen, das ist der Grund, warum übergeben Sie false für die endResponse parameter wird empfohlen.
- Wenn Sie nicht aufhören, die Verarbeitung ist dann möglich, mehr cookie geschrieben werden, auf die Browser-cookies, die Sie nicht erwarten. - nehmen Sie sich einen moment Zeit und Lesen Sie das stackoverflow.com/a/14641145/159270
- dies ist nicht eine gute Allgemeine Empfehlung zu machen.. oder zu verwenden.. wenn cookies geschrieben werden, um die Antwort, die woanders, dann Problem sollte angegangen werden, nicht umgangen.
InformationsquelleAutor Aristos

Es ist wahrscheinlich, dass das Problem Sie waren Erlebnis war in Bezug auf die cookie-domain. Das cookie vielleicht geschrieben "." + FormsAuthentication.CookieDomain. Ich habe cookies auf "admin.example.com" Domäne vor, und haben gesehen das cookie vorangestellt mit .. In der dev-Umgebung, es ist geschrieben localhost

Die Lösung, die ich verwenden, ist das hinzufügen von zwei cookies für jede Authentifizierungs-cookie und session-Cookies.

Also die Lösung, die ich verwende ist wie folgt:

 protected void SignOut(HttpContext Context)
    {
        FormsAuthentication.SignOut();
        Context.Session.Abandon();

        //clear authentication cookie
        Context.Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName)
        {
            Path = FormsAuthentication.FormsCookiePath,
            Value = "",
            Domain = (Convert.ToString(FormsAuthentication.CookieDomain).Length > 0) ? Convert.ToString(FormsAuthentication.CookieDomain) : Context.Request.Url.Host,
            HttpOnly = true,
            Expires = DateTime.Now.AddYears(-1)
        });

        Context.Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName)
        {
            Path = FormsAuthentication.FormsCookiePath,
            Value = "",
            Domain = (Convert.ToString(FormsAuthentication.CookieDomain).Length > 0) ? "." + Convert.ToString(FormsAuthentication.CookieDomain) : "." + Context.Request.Url.Host,
            HttpOnly = true,
            Expires = DateTime.Now.AddYears(-1)
        });

        //clear session cookie (not necessary for the current problem but recommended anyway)

        Context.Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId")
        {
            Path = FormsAuthentication.FormsCookiePath,
            Value = "",
            Domain = (Convert.ToString(FormsAuthentication.CookieDomain).Length > 0) ? Convert.ToString(FormsAuthentication.CookieDomain) : Context.Request.Url.Host,
            HttpOnly = true,
            Expires = DateTime.Now.AddYears(-1)
        });


        Context.Response.Cookies.Add(new HttpCookie("ASP.NET_SessionId")
        {
            Path = FormsAuthentication.FormsCookiePath,
            Value = "",
            Domain = (Convert.ToString(FormsAuthentication.CookieDomain).Length > 0) ? "." + Convert.ToString(FormsAuthentication.CookieDomain) : "." + Context.Request.Url.Host,
            HttpOnly = true,
            Expires = DateTime.Now.AddYears(-1)
        });


        FormsAuthentication.RedirectToLoginPage();
    }

Das Ergebnis dieses Aufrufs wird, fügen Sie die folgenden Header in der Antwort

Location:/Login.aspx?ReturnUrl=Standard.aspx

Set-Cookie:****=; expires=Tue, 12-Oct-1999 05:00:00 GMT; path=/; HttpOnly

Set-Cookie:****=; domain=admin.example.com; expires=Wed, 23-Apr-2014 18:04:58 GMT; path=/; HttpOnly

Set-Cookie:****=; domain=.admin.example.com; expires=Wed, 23-Apr-2014 18:04:58 GMT; path=/; HttpOnly

Set-Cookie:ASP.NET_SessionId=; domain=admin.example.com expires=Wed, 23-Apr-2014 18:04:58 GMT; path=/; HttpOnly

Set-Cookie:ASP.NET_SessionId=; domain=.admin.example.com expires=Wed, 23-Apr-2014 18:04:58 GMT; path=/; HttpOnly

Wo *** ist der name von meinem cookie, meine verschlüsselten Authentifizierungs-ticket Wert;

Beachten Sie, dass die erste Set-Cookie ist wahrscheinlich generiert sich aus der FormsAuthentication.SignOut() Methode aufrufen.

InformationsquelleAutor Brett Caswell

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.