Asp.net mvc 防止多次登录

Asp.net mvc 防止多次登录,asp.net-mvc,cookies,asp.net-identity,Asp.net Mvc,Cookies,Asp.net Identity,我试图阻止应用程序中同一用户的多次登录我的想法是在用户登录时更新安全戳并将其作为声明添加,然后在每个请求中比较cookie中的戳与数据库中的戳。我就是这样实现的: public virtual async Task<ActionResult> Login([Bind(Include = "Email,Password,RememberMe")] LoginViewModel model, string returnUrl) { if (!Mod

我试图阻止应用程序中同一用户的多次登录
我的想法是在用户登录时更新安全戳并将其作为声明添加,然后在每个请求中比较cookie中的戳与数据库中的戳。我就是这样实现的:

        public virtual async Task<ActionResult> Login([Bind(Include = "Email,Password,RememberMe")] LoginViewModel model, string returnUrl)
    {
        if (!ModelState.IsValid)
        {
            return View(model);
        }

        SignInStatus result =
            await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, false);
        switch (result)
        {
            case SignInStatus.Success:
                var user = UserManager.FindByEmail(model.Email);
                var id = user.Id;
                UserManager.UpdateSecurityStamp(user.Id);
                var securityStamp = UserManager.FindByEmail(model.Email).SecurityStamp;
                UserManager.AddClaim(id, new Claim("SecurityStamp", securityStamp));
公共虚拟异步任务登录([Bind(Include=“Email,Password,RememberMe”)]LoginViewModel模型,字符串returnUrl) { 如果(!ModelState.IsValid) { 返回视图(模型); } 符号状态结果= 等待SignInManager.PasswordSignInAsync(model.Email,model.Password,model.RememberMe,false); 开关(结果) { 案例标志状态成功: var user=UserManager.FindByEmail(model.Email); var id=user.id; UserManager.UpdateSecurityStamp(user.Id); var securityStamp=UserManager.FindByEmail(model.Email).securityStamp; AddClaim(id,新声明(“SecurityStamp”,SecurityStamp)); 然后在身份验证配置中,我添加了

        app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
            AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
            LoginPath = new PathString("/Account/Login"),
            Provider = new CookieAuthenticationProvider
            {
                OnValidateIdentity = ctx =>
                {
                    var ret = Task.Run(() =>
                    {
                        Claim claim = ctx.Identity.FindFirst("SecurityStamp");
                        if (claim != null)
                        {
                            var userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(new ApplicationDbContext()));
                            var user = userManager.FindById(ctx.Identity.GetUserId());

                            // invalidate session, if SecurityStamp has changed
                            if (user != null && user.SecurityStamp != null && user.SecurityStamp != claim.Value)
                            {
                                ctx.RejectIdentity();
                            }
                        }
                    });
                    return ret;
                }
            }

        });
app.UseCookieAuthentication(新的CookieAuthenticationOptions
{
AuthenticationType=DefaultAuthenticationTypes.ApplicationOkie,
LoginPath=新路径字符串(“/Account/Login”),
Provider=新CookieAuthenticationProvider
{
OnValidateIdentity=ctx=>
{
var ret=Task.Run(()=>
{
索赔=ctx.Identity.FindFirst(“SecurityStamp”);
如果(索赔!=null)
{
var userManager=newusermanager(newuserstore(newapplicationdbcontext());
var user=userManager.FindById(ctx.Identity.GetUserId());
//如果SecurityStamp已更改,则使会话无效
if(user!=null&&user.SecurityStamp!=null&&user.SecurityStamp!=claim.Value)
{
ctx.RejectIdentity();
}
}
});
返回ret;
}
}
});
如图所示,我尝试将cookie中的声明与数据库中的声明进行比较,如果它们不相同,则拒绝该标识。

现在,每次用户登录安全戳时,安全戳都会得到更新,但用户的cookie中的值不同,我不知道为什么?我怀疑可能是新更新的安全戳没有存储在用户的cookie中?

过去我使用IAuthorizationFilter和静态登录用户集合来实现这一点:

public static class WebAppData
{
     public static ConcurrentDictionary<string, AppUser> Users = new ConcurrentDictionary<string, AppUser>();
}

public class AuthorisationAttribute : FilterAttribute, IAuthorizationFilter {

    public void OnAuthorization(AuthorizationContext filterContext){

            ...
            Handle claims authentication
            ...

            AppUser id = WebAppData.Users.Where(u=>u.Key ==userName).Select(u=>u.Value).FirstOrDefault();
            if (id == null){
                id = new AppUser {...} ;
                id.SessionId = filterContext.HttpContext.Session.SessionID;
                WebAppData.Users.TryAdd(userName, id);
            }
            else
            {
                if (id.SessionId != filterContext.HttpContext.Session.SessionID)
                {
                        FormsAuthentication.SignOut();
                        ...
                        return appropriate error response depending is it ajax request or not
                        ...


                }
            } 
     }
}

解决方案比您开始实施的要简单一些。但想法是一样的:每次用户登录时,更改他们的安全戳。这将使所有其他登录会话无效。因此将教导用户不要共享他们的密码

我刚刚从标准VS2013模板创建了一个新的MVC5应用程序,并成功地实现了您想要做的事情

登录方法。您需要在创建身份验证cookie之前更改安全戳,因为在设置cookie之后,您无法轻松更新值:

[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
    if (!ModelState.IsValid)
    {
        return View(model);
    }


    // check if username/password pair match.
    var loggedinUser = await UserManager.FindAsync(model.Email, model.Password);
    if (loggedinUser != null)
    {
        // change the security stamp only on correct username/password
        await UserManager.UpdateSecurityStampAsync(loggedinUser.Id);
    }

     // do sign-in
    var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
    switch (result)
    {
        case SignInStatus.Success:
            return RedirectToLocal(returnUrl);
        case SignInStatus.LockedOut:
            return View("Lockout");
        case SignInStatus.RequiresVerification:
            return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
        case SignInStatus.Failure:
        default:
            ModelState.AddModelError("", "Invalid login attempt.");
            return View(model);
    }
}
时间间隔设置为零-意味着每个请求上的框架都会将用户的安全戳与数据库中的戳进行比较。如果cookie中的戳与数据库中的戳不匹配,则会抛出用户的身份验证cookie,要求他们注销

但是,请注意,这将在用户发出的每个HTTP请求中向您的数据库发出额外的请求。在大用户基础上,这可能会很昂贵,您可以将检查间隔增加到几分钟,这将减少对数据库的请求,但仍然会传递有关不共享登录详细信息的消息




当用户关闭浏览器而不注销时会发生什么情况?
表单身份验证有点不适用于身份框架。我认为您的方法太复杂。我也做过类似的操作。创建一个静态类,其中包含静态列表
CurrentUsers
。当用户登录时,检查该列表。如果是当前列表,则拒绝。复杂的决定是什么事件意味着为
CurrentUsers
删除用户。注销显然是一个原因。但是否允许用户保留cookie,但在会话运行被回收时将其作为当前cookie删除(浏览器连接终止)?在这种情况下,在
会话中
方法您将从
CurrentUsers
中删除该用户。我试图在新的visual studio项目中复制您的解决方案,但我无法。好的,给我一分钟,我会检查出来。@SharathChandra我已经完成了WinAuth与OWIN身份验证的结合(没有身份),但这超出了此问题的范围。我没有实施防止多次登录,因为同一用户在多个位置登录是有合法理由的。但我确信这是可以做到的。@trailmax,您好,我的应用程序中的问题是会话没有被放弃,只有身份验证cookie过期(这是正确的)。目前,在为用户创建新会话之前,我在登录操作中添加了一个会话清理代码。@trailmax嗨,我有兴趣在
ASP.NET Core v.2
中实现这一点。您是否也可以为新版本更新您的答案?因为
cookie
代码在上一版本中不起作用,请提前感谢。
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
    if (!ModelState.IsValid)
    {
        return View(model);
    }


    // check if username/password pair match.
    var loggedinUser = await UserManager.FindAsync(model.Email, model.Password);
    if (loggedinUser != null)
    {
        // change the security stamp only on correct username/password
        await UserManager.UpdateSecurityStampAsync(loggedinUser.Id);
    }

     // do sign-in
    var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
    switch (result)
    {
        case SignInStatus.Success:
            return RedirectToLocal(returnUrl);
        case SignInStatus.LockedOut:
            return View("Lockout");
        case SignInStatus.RequiresVerification:
            return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
        case SignInStatus.Failure:
        default:
            ModelState.AddModelError("", "Invalid login attempt.");
            return View(model);
    }
}
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    // other stuff
    AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
    LoginPath = new PathString("/Account/Login"),
    Provider = new CookieAuthenticationProvider
    {
        OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
            validateInterval: TimeSpan.FromMinutes(0), // <-- Note the timer is set for zero
            regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
    }
});