问题标签 [login-control]

我正在寻找一种方法让用户能够轻松连接到我的应用程序，但很少。我想要做的是能够在用户的计算机上存储一个寿命为 1 年的 cookie。如果他们在 cookie 处于活动状态时访问该网站，他们将自动登录。

我建议的解决方案是：在初始登录时，创建一个包含用户 IP 地址、上次登录日期和随机数的 cookie，所有这些都经过哈希处理。我还将他们的用户 ID 和 IP 地址存储在 cookie 中。这些值也将存储在数据库中。如果几个月后他们再次访问该站点，IP 地址、ID 和哈希值与数据库中的值匹配，那么他们会自动登录。计算一个新的哈希值。如果其中任何一个不匹配，则将提示用户再次登录。

这种设计是否存在明显的安全漏洞？我不担心 IP 地址的变化，这将是大学校园里的教授。

在此先感谢，--戴夫

我的 ASP.NET (2.0) 页面上有一个登录控件。我像这样处理 LoggingIn 事件：

在数据库中找到用户。并且在此函数结束时 e.Cancel 仍设置为 false。但随后发生了LoginError。LoggedIn 没有发生。FailureText 出现在页面上。我不知道如何调试这个:(

不知道什么地方配置错误或其他什么。经过身份验证的用户可以更改他的密码，但对于未经身份验证的用户，单击更改密码按钮不会执行任何操作。也没有显示错误。

有任何想法吗？

我有一个带有 onloggedin 事件处理程序的 .Net 登录控件。

但是 User.Identity 始终为空。

它应该在这一点上可用吗？ 或者我应该从对象发送者或 EventArgs e 获取用户名？

我们正在使用 ASP.NET 2.0 来构建网站，并且正在使用表单身份验证。像往常一样，我使用 ASP.NET 登录控件。

在这个项目中，我们不允许使用客户端（JS）验证，所以我想禁用它。不幸的是，在各种 ASP.NET Validator 控件上似乎没有可用的 EnableClientScript 属性。

有谁知道在没有客户端验证脚本的情况下使用登录控件的方法，这样我就可以避免创建自己的登录控件？

我在两个 Web 应用程序中使用相同的用户名和密码登录（一个在 .net 3.5 中，另一个在 java 1.4 中）。两个网站都在同一台服务器上使用不同的数据库。为了维护用户名密码身份验证，使用了.net 用户登录控制。当用户更新他的密码时，我们需要以与 .net 用户相同的加密形式更新 .net 使用的数据库中的相同密码登录控制确实如此。所以任何人都可以指导我，什么是默认设置，如密钥长度和填充属性.net 使用，以便我可以在 java api 中使用相同的方法来加密更新的密码，然后再在数据库上更新密码。

我几乎完成了（我以为我完成了）用 php 编写这个登录页面。当用户输入详细信息并按下登录按钮时，一切正常。

但是在用户登录后，他们可以使用浏览器上的前进和后退按钮在两个页面之间移动。

有没有办法阻止这种情况发生？基本上当在登录页面时，他们不应该能够转发到下一页。

（第一页，登录页面。）

（第 2 页）

第 2 页上的代码应该检查登录是否正确，如果一切正常，我还有一些额外的代码（一个表单和另一个数据库查询）对用户可见。

假设我想开发一个嵌入了一些 CMS 的网站 - 例如，一个Wordpress博客和phpbb论坛。

为我的网站统一登录和注册流程最方便的方法是什么？

让用户对网站的每个部分都有不同的注册过程可能会吓跑任何理智的用户。

编辑

我更喜欢通用解决方案，不一定适用于上述 CMS。

我为此浪费了一周的时间。我想使用一个 LinkBut​​ton 而不是标准的 asp 按钮，这样我就可以将一个 SkinID 附加到它上面，用于链接按钮。使用链接按钮时：

<asp:LinkButton ID="LinkButton1" runat="server" CommandName="Login" SkinID="loginButton" ValidationGroup="rgtLogin" />

匿名 cookie 永远不会被删除，并且 Profile_OnMigrateAnonymous 会被无休止地调用。而且由于 cookie 永远不会被删除，我的个人资料永远不会被设置为正确的用户。

我把它改回了普通的 asp 按钮，它的工作原理应该是这样。有谁知道为什么我不能在登录控件上使用上述代码作为登录命令？我需要知道如何将我的皮肤应用到常规按钮上。

任何人都可以帮助我，如何在asp.net中使用LoginStatus控件...

登录前的状态应该是'userlogin' 登录后会自动变为'userlogout'

有什么建议么？？