Beschränken Sie den Zugriff, bis der Benutzer eine E-Mail-link bestätigt hat

Ich bin, die um die Identität.Muster Beispiel und fand heraus, dass Benutzer weiterhin anmelden ohne einen Klick auf die E-Mail-Bestätigung nach der Anmeldung. Gibt es ein flag zum aktivieren zum einschränken der Benutzer von der Anmeldung, bis er/Sie klickt auf den bestätigen-link in seiner E-Mail? Oder irgendwelche extra-code, den ich brauche, um zu schreiben, um dies zu verhindern?

EDIT: Hinzugefügt wurde die Login-action-code aus den Proben

    [HttpPost]
    [AllowAnonymous]
    [ValidateAntiForgeryToken]
    public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
    {
        if (!ModelState.IsValid)
        {
            return View(model);
        }

        //This doen't count login failures towards lockout only two factor authentication
        //To enable password failures to trigger lockout, change to shouldLockout: true
        var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
        switch (result)
        {
            case SignInStatus.Success:
                return RedirectToLocal(returnUrl);
            case SignInStatus.LockedOut:
                return View("Lockout");
            case SignInStatus.RequiresVerification:
                return RedirectToAction("SendCode", new { ReturnUrl = returnUrl });
            case SignInStatus.Failure:
            default:
                ModelState.AddModelError("", "Invalid login attempt.");
                return View(model);
        }
    }
  • Was bedeutet der Login-action Aussehen mit der Probe? Vielleicht brauchen Sie, um zusätzliche Logik, um zu überprüfen, dass die "Bestätigung fahne" gegen den account eingestellt ist?
  • Können Sie uns den link zum Beispiel? Ich hatte einen Blick auf asp.net/identity/overview/features-api/..., und das einzige, was verhindert wird, für eine unbestätigte Konto ändern des Kennworts.
  • Zunächst müssen Sie ein flag in der Datenbank, so dass, wenn jeder Benutzer Registrieren, die für die erste Zeit, setzen Sie das flag auf "False" und ändern Sie das flag auf 'True', wenn ein Benutzer klickt auf die Bestätigungs-URL. Nun, wenn der Benutzer versucht, an login-check für das Flag, ob seine 'True' oder nicht. Wenn seine 'Wahre' der Benutzer geklickt hat, die einen Bestätigungslink, den Sie sonst nicht.
  • diese sind nicht die Antwort !! warum gibt es ein nutzlos SignInStatus.RequiresVerification!!!
InformationsquelleAutor icube | 2014-06-16
  1. 10

    Wenn Sie möchten, dass emailConfirmation, fügen Sie einfach eine zusätzliche Kontrolle, wie Sie dies, bevor Sie versuchen, die passwordSignIn:

            var user = await UserManager.FindByNameAsync(model.Email);
        if (user != null)
        {
               if (!await UserManager.IsEmailConfirmedAsync(user.Id)) return View("ErrorNotConfirmed");
        }
    • Danke Hao für die Bestätigung, dass "PasswordSignInAsync" nicht 2FA auf seine eigenen. Von der 2.1.0-alpha-Proben es sieht wirklich wie es sollte tun dies für Sie prüfen. Ich bin neugierig, wie kommt man auf die "RequiresVerification" - Szenario beim Aufruf "PasswordSignInAsync" in 2.2.0-alpha (oder ist das überhaupt möglich)?
    • Ich denke, nach ein paar Tagen bin ich beginnen zu erkennen, warum diese umgesetzt worden wie dieses. Bitte bestätigen, ob mein denken korrekt ist... Meine unten "fix" kombiniert die Aspekte von E-Mail-Bestätigung & zwei-Faktor-Authentifizierung in einem, das ist wohl nicht das richtige für diejenigen, die echte 2FA (log-in, get code auf dem Handy\E, code eingeben, dann bekommen Sie befugt, Website). Ist das die gleiche Funktionalität, die die Identität framework bereitstellt? Wenn ja, dann unten meine Antwort ist nicht das richtige für 2FA.
    • Ja, Ihre SignInAsync smushes denen zusammen
    • Dies würde es einem Angreifer ermöglichen, herauszufinden, wer hat noch nicht bestätigt, Ihre E-Mail. Besser zurück die gleiche Aktion wie pro ungültiges Kennwort.
    InformationsquelleAutor Hao Kung
  2. 7

    Wie JT ich denke, Sie sollten überprüfen, um sicherzustellen, Sie werden authentifiziert, bevor Sie wissen zu lassen Sie haben, um zu bestätigen, die E-Mail-Adresse. Sonst könnte jemand mit Ihrem system zu sehen, wenn die E-Mail existiert in Ihrem system. Also legte ich Hao code nach signin.Erfolg

     var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: true);
    switch (result)
            {
                case SignInStatus.Success:
                    //Require the user to have a confirmed email before they can log on.
                    var user = await UserManager.FindByNameAsync(model.Email);
                    if (user != null)
                    {
                        if (!await UserManager.IsEmailConfirmedAsync(user.Id))
                        {                                                        AuthenticationManager.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
                            ViewBag.errorMessage = "You must have a confirmed email to log on.";
                            return View("DisplayEmail");
                        }
                    }
                    return RedirectToLocal(returnUrl);
                case SignInStatus.LockedOut:
                    return View("Lockout");
                case SignInStatus.RequiresVerification:
                    return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
                case SignInStatus.Failure:
                default:
                    ModelState.AddModelError("", "Invalid login attempt.");
                    return View(model);
            }
    • Vielen Dank, das ist genau das, was ich brauchte, ich war Getue herum und versuchte, Sie zu machen, einen filter für diese, und ich hatte in meinem Kopf ich würde es gelten zu jedem Konto die Methode, ich bin mir nicht sicher, warum ich nicht denke, dass einfach nicht zulassen, dass Sie sich in alle...sehr dumm von mir, danke nochmal. Dieser war perfekt.
    InformationsquelleAutor Dizzy
  3. 6

    Aus der Basis von Hao ' s Antwort habe ich mich dazu entschlossen meine eigene "SignInManager.SignInAsync" - Methode zum verarbeiten der E-Mail-Bestätigung vor dem login. Nicht sicher, ob dies wird helfen, jemand anderes (oder wenn es gibt ein besserer Weg, dies zu tun), aber dachte, ich würde Aktie. Eine Sache zu beachten ist, dass die Funktionalität ein wenig anders aus Hao ' s Vorschlag. Um die "RequiresValidation" zurückgegeben, würde der Benutzer müssen zuerst einen gültigen Benutzernamen und ein Passwort.

    public class ApplicationSignInManager : SignInManager<ApplicationUser, string>
{
    public ApplicationSignInManager(UserManager<ApplicationUser, string> userManager, IAuthenticationManager authenticationManager) 
        : base(userManager, authenticationManager)
    {
    }

    public async Task<SignInStatus> SignInAsync(string userName, string password, bool rememberMe)
    {
        var user = await UserManager.FindByNameAsync(userName);

        if (user == null) return SignInStatus.Failure;

        if (await UserManager.IsLockedOutAsync(user.Id)) return SignInStatus.LockedOut;

        if (!await UserManager.CheckPasswordAsync(user, password))
        {
            await UserManager.AccessFailedAsync(user.Id);
            if (await UserManager.IsLockedOutAsync(user.Id))
            {
                return SignInStatus.LockedOut;
            }

            return SignInStatus.Failure;
        }

        if (!await UserManager.IsEmailConfirmedAsync(user.Id))
        {
            return SignInStatus.RequiresVerification;
        }

        await base.SignInAsync(user, rememberMe, false);
        return SignInStatus.Success;
    }
}

    Update 1: Nach einigem nachdenken, glaube ich nicht, das ist das richtige für 2FA. Auf der Grundlage von anderen Website-2FA-Implementierung (Mandrill für einen) Sie haben die Nutzer geben Ihre Benutzer - \ - pass, dann zusätzlich geben Sie einen passcode in Ihr Telefon, bevor Sie berechtigt sind, die Seite zu betreten. Dies ist anders als nur die überprüfung der E-Mail-Konto, bevor der Benutzer\pass darf verwendet werden. Ich mag meine Implementierung für die E-Mail-Bestätigung besser, da es nicht preiszugeben, die Benutzer-Konten, aber seine nicht 2FA.

    Update 2: Entfernt den check für GetTwoFactorEnabledAsync(). Der obige code ist für die Verhinderung anmelden bis E-Mail-Bestätigung empfangen wird, und hat nichts zu tun mit 2FA (die Sie eigentlich nicht tun können, 2FA mit der oben genannten Methode, da Sie ein token ist nie gesendet oder überprüft werden, bevor der Benutzer angemeldet ist).

    • PasswordSignInAsync(Modell.UserName, model.Passwort-Modell.RememberMe, shouldLockout: true) enthält, die shouldLockout parameter... nicht für mich Aussehen wie Ihre Implementierung behandelt...Oder bin ich da falsch? Ich werde Ihre Umsetzung ein Versuch Wert, aber ich bin neugierig, was Sie denken über die Aussperrung Sache..
    • SignInStatus.RequiresVerification ist verbunden mit 2FA und nicht die ursprüngliche Frage. Hau die Antwort ist immer noch erforderlich, zusätzlich zu dem code, den Sie geschrieben haben. Es sieht nicht wie SignInStatus hat einen Wert für "E-Mail nicht bestätigt". Für jeden, der neugierig ist, hier ist der code, den ich verwendet (Beachten Sie, dass ich auch mit T4MVC) gist.github.com/alexdresko/ce6e8ac478fca31d36c0
    • Es wurde ein Problem im code für die !(IsEmailConfirmedAsync(Benutzer.Id) && IsPhoneConfirmed). Es sollte sein || (ich habe aktualisiert die Probe, wie Sie oben auch).
    • Sind Sie richtig. Ich war die Vermischung der E-Mail-Bestätigung und 2FA. Ich aktualisiert meine obige Antwort.
    • Also deine Methode kann nun mit der E-Mail-Bestätigung, dass Hao empfiehlt, aber nicht die 2FA Zeug? Wollen einfach nur, um zu klären,... Wenn ja, werde ich update mein code heute Abend. Ich brauche nicht 2FA noch nicht, aber es wäre gut, dass die Arbeit als gut.
    • Richtig, es tatsächlich nie getan 2FA. Ich war die Vermischung der Terminologie der E-Mail-Validierung & 2FA. Sorry für die Verwirrung
    • Auch, um zu klären, mein code ist sehr ähnlich zu Hao Vorschlag zu prüfen IsEmailConfirmed(...) vor dem Aufruf PasswordSignIn(...) außer, dass ich überprüfen Sie die Benutzername\Passwort vor der Anzeige des Fehlers, um zu verhindern, dass Menschen auf der Suche für nicht authentifizierte Benutzernamen. Es wäre wahrscheinlich genauso einfach zu überprüfen, nach dem Aufruf PasswordSignIn und sofort Abmelden wenn Sie Ihre E-Mail nicht bestätigt ist.

    InformationsquelleAutor jt000
Schreibe einen Kommentar