这是我的问题。我的应用程序有登录页面、密码重置页面和个人资料页面。密码重置页面和个人资料页面未经身份验证无法访问。
我已[Authorize]
用于配置文件操作和密码重置操作。
在我的应用程序中,我的用户密码在 30 天后过期。因此,当用户登录并且密码过期时,我会重定向用户以更改密码页面。由于用户已经通过身份验证,用户可以进入个人资料页面,输入网址(例如:www.mywebsite.com/Profile/View)。这是一个漏洞。
我不希望用户取消密码更改过程。我想强制用户更改密码。
我怎样才能做到这一点?