编辑有些人表示不喜欢我在这个问题中提出的特定解决方案,但请不要浪费我的时间来建议完全替代的方法。我无法控制我正在从事的工作的要求。如果您不同意并且没有答案,请继续前进。谢谢。
对于初学者来说,这是一个实践项目,不会被公众使用。我需要使用用户名的会话属性来保护我网站中的某些页面。当输入正确的用户名和密码组合时,会发生这种情况(用户名保存到会话中)。老板看了我的实现说“直接把用户名值存入HttpSessionState是不对的,你应该设置session的username属性,把session对象存入HttpSessionState”。现在我想我明白他指的是我的代码的哪些部分,但是更改它会破坏安全性(一旦单个用户登录,任何人都可以使用指向页面的直接链接)。
确保阅读代码中的注释,我添加它们来描述有问题的行。
什么在安全方面起作用,但用户名直接存储在 HttpSessionState 中:
//login.ascx.cs
private void Login_Click(object sender, EventArgs e)
{
if (sender == null || e == null)
{
throw new ArgumentNullException("Null Exception: Login_Click");
}
User user = new User();
user.Login(_username.Text, _password.Text);
if (user.IsValid() && user.GetIsUser() != false)
{
user.Save();
//the line below is what I used to make the secure pages work properly.
//but based on what my boss says, I think this is what should be changed.
Session["Username"] = _username.Text;
//What i tried instead was to set 'MySession.Current.Username = _username.Text;'
//which allowed successful login, but the pages became insecure once again.
Response.Redirect("Secure/Default.aspx");
}
else
{
DisplayErrors(user._validationErrors);
}
_errors.Text = errorMessage;
}
和 MySession.cs
public string Username
{
get
{
if (HttpContext.Current.Session["Username"] == null)
{
return string.Empty;
}
else
{
return HttpContext.Current.Session["Username"].ToString();
}
}
set
{
//when the line below is uncommented, the secure pages are vulnerable
//but if I comment it out, they work properly.
//HttpContext.Current.Session["Username"] = value;
}
}
那么我怎样才能Set the username property of the session, and store the session object into the HttpSessionState在保持安全站点的同时呢?
编辑:@Win,在 Secure/Default.aspx.cs 中
private void Page_load(object sender, System.EventArgs e)
{
...
if((string)Session["Username"] != _labelusername.Text)
{
Response.Redirect(redirectLogin); //to login page
}
else {} //success
}