23 Stimmen

Jai avatar

Ablauf des ASP.NET-Mitgliedschaftskennworts

Gefragt el 8 de Dezember, 2008
Wann wurde die Frage gestellt
25722 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Ich verwende ASP.NET-Mitgliedschaft für die Authentifizierung meiner Web-App. Das hat für mich gut funktioniert. Ich habe jetzt zu implementieren Passwort Ablauf.

Wenn das Kennwort abgelaufen ist, sollte der Benutzer zur folgenden Seite weitergeleitet werden ChangePassword und sollte ohne Änderung des Kennworts keinen Zugang zu einem anderen Teil der Anwendung erhalten.

Es gibt viele aspx-Seiten. Eine Lösung könnte die Umleitung auf die ChangePassword Bildschirm OnInit jeder aspx, wenn das Passwort abgelaufen ist. Gibt es irgendwelche anderen Lösungen oder Empfehlungen.

Danke! Jai

Gefragt el 8 de Dezember, 2008 von Jai

Antworten

Zu viele Anzeigen?

29voto

Andrew avatar
Andrew Punkte 12733

Weiter zu csgero's Antwort Ich habe herausgefunden, dass Sie in ASP.Net 2.0 (3.5) nicht explizit einen Event-Handler für dieses Ereignis hinzufügen müssen.

Sie können einfach die folgende Methode in global.asax und es wird für Sie verkabelt:

void Application_PostAuthenticateRequest(object sender, EventArgs e)
{
    if (this.User.Identity.IsAuthenticated)
    {
        // get user
        MembershipUser user = Membership.GetUser();

        // has their password expired?
        if (user != null
            && user.LastPasswordChangedDate.Date.AddDays(90) < DateTime.Now.Date
            && !Request.Path.EndsWith("/Account/ChangePassword.aspx"))
        {
            Server.Transfer("~/ChangePassword.aspx");
        }
    }
}
Beantwortet el 15 de Juli, 2011 von Andrew (12733 Punkte )

13voto

csgero avatar
csgero Punkte 2753

Sie könnten einen Ereignishandler für das Ereignis HttpApplication.PostAuthenticateRequest in global.asax hinzufügen und die Umleitung dort behandeln.

Beantwortet el 8 de Dezember, 2008 von csgero (2753 Punkte )

9voto

rethenhouser2 avatar
rethenhouser2 Punkte 390

Weiter zu Andrews Antwort Ich habe festgestellt, dass Sie überprüfen müssen, ob der Benutzer nicht bereits auf der Seite zum Ändern des Kennworts ist, sonst kann er sein Kennwort nicht ändern und verlässt die Seite zum Ändern des Kennworts nicht:

void Application_PostAuthenticateRequest(object sender, EventArgs e)
    {
        if (this.User.Identity.IsAuthenticated)
        {
            // get user 
            MembershipUser user = Membership.GetUser();

            // has their password expired? 
            if (user != null
                && user.LastPasswordChangedDate.AddMinutes(30) < DateTime.Now
                && !Request.Path.EndsWith("/Account/ChangePassword.aspx"))
            {
                Server.Transfer("~/Account/ChangePassword.aspx");
            }
        }
    }
Beantwortet el 26 de Marsch, 2012 von rethenhouser2 (390 Punkte )

6voto

Nicht registrierter Benutzer avatar
Nicht registrierter Benutzer Punkte 0

Gerade implementiert dies in etwa einer Stunde, keine Notwendigkeit, Ihre Basis-Seite zu ändern. Hier ist, was Sie zu tun haben:

  1. Reagieren Sie auf die LoggingIn Ereignis der Mitgliedschaftskontrolle

  2. Suchen Sie den Benutzer in der Mitgliederdatenbank und rufen Sie LastPasswordChangedDate

  3. Vergleichen Sie diesen Wert mit dem aktuellen Datum und entscheiden Sie, ob das Kennwort vor mehr als der erforderlichen Anzahl von Tagen zuletzt geändert wurde, indem Sie eine TimeSpan verwenden. Ich erhalte diesen Wert aus web.config

  4. Falls abgelaufen, Umleitung auf die ChangePassword Bildschirm

Beantwortet el 24 de Juli, 2009 von Nicht registrierter Benutzer (0 Punkte )

4voto

Leniel Maccaferri avatar
Leniel Maccaferri Punkte 96851

Ich habe hier auf der Suche nach einer Lösung für dieses, aber meine aktuelle Technologie ist ASP.NET MVC. Also, um anderen zu helfen: Sie können erweitern die AuthorizeAttribute und außer Kraft setzen OnAuthorization Methode, etwa so:

public class ExpiredPasswordAttribute : AuthorizeAttribute
{
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        IPrincipal user = filterContext.HttpContext.User;

        if(user != null && user.Identity.IsAuthenticated)
        {
            MembershipUser membershipUser = Membership.GetUser();

            if (PasswordExpired) // Your logic to check if password is expired...
            {
                filterContext.HttpContext.Response.Redirect(
                    string.Format("~/{0}/{1}?{2}", MVC.SGAccount.Name, MVC.SGAccount.ActionNames.ChangePassword,
                    "reason=expired"));

            }
        }

        base.OnAuthorization(filterContext);
    }
}

Anmerkung: Ich verwende T4MVC um die Controller- und Action-Namen im obigen Code abzurufen.

Markieren Sie alle Controller mit diesem Attribut außer " AccountController ". Auf diese Weise kann kein Benutzer mit einem abgelaufenen Passwort auf der Website surfen.

Hier ist ein Beitrag, den ich zu diesem Thema verfasst habe, mit einigen Bonuspunkten:

Filterattribut "Benutzerkennwort abgelaufen" in ASP.NET MVC

Beantwortet el 23 de Kann, 2012 von Leniel Maccaferri (96851 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X