我有一个 MVC 4 应用程序,并且在表单会话到期然后用户尝试注销时遇到问题。
前任。超时设置为 5 分钟。用户登录。用户在 10 分钟内什么都不做。用户单击注销链接。用户收到错误:“提供的防伪令牌用于用户“XXXX”,但当前用户是“”。
然后用户必须通过一些体操来解决这个问题,以便他们可以重新登录然后重新注销(注销用于关闭他们当天的考勤卡)。
我想我明白为什么会发生这种情况......但不知道如何解决它。
编辑:为什么我认为发生这种情况是因为最初在加载页面时,会为当前登录的用户生成 AntiForgery 令牌。但是当会话到期并且他们尝试导航到注销页面时,当前用户是“”而不是实际用户。因此存在不匹配并呈现错误。
实际上你可以用 处理它IExceptionFilter,这将重定向到/Account/Login
public class HandleAntiForgeryError : ActionFilterAttribute, IExceptionFilter
{
#region IExceptionFilter Members
public void OnException(ExceptionContext filterContext)
{
var exception = filterContext.Exception as HttpAntiForgeryException;
if (exception != null)
{
var routeValues = new RouteValueDictionary();
routeValues["controller"] = "Account";
routeValues["action"] = "Login";
filterContext.Result = new RedirectToRouteResult(routeValues);
filterContext.ExceptionHandled = true;
}
}
#endregion
}
[HandleAntiForgeryError]
[ValidateAntiForgeryToken]
public ActionResult LogOff()
{
}
你也可以使用[HandleError(ExceptionType=typeof(HttpAntiForgeryException)...],但它需要 customErrors On。
@cem 的回答对我真的很有帮助,我添加了一个小改动,包括使用 antiforgerytoken 和过期会话的 ajax 调用场景。
public void OnException(ExceptionContext filterContext)
{
var exception = filterContext.Exception as HttpAntiForgeryException;
if (exception == null) return;
if (filterContext.HttpContext.Request.IsAjaxRequest())
{
filterContext.HttpContext.Response.StatusCode = 403;
filterContext.ExceptionHandled = true;
}
else
{
var routeValues = new RouteValueDictionary
{
["controller"] = "Account",
["action"] = "Login"
};
filterContext.Result = new RedirectToRouteResult(routeValues);
filterContext.ExceptionHandled = true;
}
}
...在客户端,您可以添加一个全局 ajax 错误处理程序以重定向到登录屏幕...
$.ajaxSetup({
error: function (x) {
if (x.status === 403) {
window.location = "/Account/Login";
}
}
});