asp.net-mvc - 注销 Webforms 身份验证不会删除服务器上的身份验证

Question

我使用开箱即用的 webforms 身份验证。

在请求“注销”并使用后：

 FormsAuthentication.SignOut();

通过从客户端浏览器中删除 cookie“.aspxauth”，用户将被注销。

这按预期工作。

我们的站点进行了安全审核，审核员声称当用户注销时身份验证令牌不会从服务器中删除。

我可以使用 Fiddler 重现这种行为。

• 我登录网站并复制 cookie “.aspxauth”
• 我注销：客户端上的 cookie 已删除，我无法再访问受保护的页面
• 我使用以前复制的 cookie“aspxauth”使用提琴手作曲家向网站发送请求。我可以使用该 cookie 访问受保护的页面。

预期的结果是，如果我注销，我将无法通过提供旧的 aspxauth cookie 访问受保护的页面。

有没有办法使服务器上的旧 aspxauth cookie 无效？

Answer 1

我通过在 Auth-cookie 中存储一个盐值来解决这个问题，该值在用户登录时也保存在数据库中。

在每个请求中，都会检查 auth cookie 中的 salt 是否与数据库中的 salt 相同。如果不是，用户将被注销。

如果用户注销，盐会从数据库中删除，并且旧的 auth - cookie 不能再使用。

登录时存储盐

    // Generate a new 6 -character password with 2 non-alphanumeric character.
string formsAuthSalt = Membership.GeneratePassword(6, 2);

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
    orderAuthToken.EMail,
    DateTime.Now,
    DateTime.Now.AddMinutes(20),
    ApplicationConfiguration.CreatePersistentCookie,
    formsAuthSalt,
    FormsAuthentication.FormsCookiePath);

// Encrypt the ticket.
string encTicket = FormsAuthentication.Encrypt(ticket);
Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, encTicket));


UserInfo user = UserService.GetUser(orderAuthToken.EMail);
user.FormsAuthenticationCookieSalt = formsAuthSalt;
UserService.UpdateUser(user);

检查过滤器中的盐，你用它来处理所有动作

public class CheckFormsAuthenticationCookieSalt : ActionFilterAttribute
{
    private readonly IUserService UserService = ObjectFactory.GetInstance<IUserService>();

    public override void OnActionExecuting(ActionExecutingContext filterContext)
    {
        if ( filterContext.HttpContext.Request.IsAuthenticated)
        {
            // Encrypt the ticket.
            if (HttpContext.Current.Request.Cookies.AllKeys.Contains(FormsAuthentication.FormsCookieName))
            {
             var cookie = HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName];
                if (cookie != null)
                {
                    FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(cookie.Value);
                    if (ticket != null)
                    {
                        string salt = ticket.UserData;
                        int userID = UserService.GetUniqueID(filterContext.HttpContext.User.Identity.Name, true, false, "MyAppName");
                        UserInfo user = UserService.GetUser(userID);
                        //for deployment: dont logg out existing users with no cookie
                        if (user.FormsAuthenticationCookieSalt != salt && user.FormsAuthenticationCookieSalt != "seed")
                        {
                            FormsAuthentication.SignOut();
                            filterContext.Result = new RedirectToRouteResult(new RouteValueDictionary { { "action", "Index" }, { "controller", "Home" } );
                        }
                    }
                }
            }
        }

        base.OnActionExecuting(filterContext);
    }
}