我有一个使用表单身份验证的 ASP.NET MVC Web 应用程序。
我正在使用 ActiveDirectoryMembershipProvider 针对我们的域验证用户。
if (Membership.ValidateUser(m.Username, m.Password))
{
FormsAuthentication.SetAuthCookie(m.Username, true);
....
这意味着用户只有在登录时才会得到验证。
问题当然是,如果用户的密码更改,他们仍然保持登录状态。或者更糟糕的是,用户带着怨恨离开我们公司,他们仍然可以访问。
我原以为这样一个简单的用例会有一个明显的答案,但我已经坚持了一段时间了。
我可以将用户密码放入会话中,然后每次都对其进行验证,但这感觉不对。
处理此问题的建议/正确方法是什么?