0

我目前正在添加一个操作过滤器来处理我们网站中的会话超时:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public class SsoExpireFilterAttribute : ActionFilterAttribute
{
    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        if(!(filterContext.Controller.GetType() == typeof(HomeController) 
            && filterContext.ActionDescriptor.ActionName == MVC.Home.ActionNames.Index))
        {
            if(filterContext.ActionDescriptor.ActionName != MVC.Home.ActionNames.TimeoutRedirect.ToLower())
            {
                if (!Thread.CurrentPrincipal.Identity.IsAuthenticated)
                {
                    if (filterContext.HttpContext.Request.IsAjaxRequest())
                        filterContext.Result = new JsonResult { Data = "_Logon_" };
                    else
                        filterContext.Result = new RedirectToRouteResult(
                            new RouteValueDictionary
                        {
                            {"Controller", "Home"},
                            {"Action", "TimeoutRedirect"}
                        });
                }
            }
        }

        base.OnActionExecuting(filterContext);
    }
}

我期望 Principal.Identity 上的 IsAuthenticated 标志在超时后为假,但是当它在动作过滤器中被击中时它仍然是真的。(我知道会话已经超时,因为我在 Global.asax 中的 Session_End 上设置了一个断点,这是第一个命中的)。

我们网站的身份验证由公司标准的“单点登录”dll 处理,所以我猜这是在设置单独的身份验证超时,这听起来可能吗?

任何帮助表示赞赏。

4

3 回答 3

2

我想你想用 HttpContext.User.Identity 替换 Thread.CurrentPrincipal.Identity.IsAuthenticated

我认为您对 Thread.CurrentPrincipal 所做的事情是询问正在为您的服务器上的 Web 应用程序提供服务的用户是否经过身份验证。您要做的是询问用户是否已通过身份验证。

于 2012-05-10T15:17:21.083 回答
1

会话和身份验证 cookie 是不同的东西。您可以拥有仍然经过身份验证但会话已过期的用户。看看这篇文章:asp.net cookies, authentication and session timeouts

于 2012-05-10T16:40:21.243 回答
0

可能有点逃避,但在与业务中的其他团队协商后,我将遵循使用公司“单点登录”dll 并使用 Session.KeepAlive 方法的其他站点的模型,所以我将没有需要这个动作过滤器。

于 2012-05-11T10:26:36.490 回答