为了防止用户在seesion过期之后进行操作,可以添加自定义过滤器验证session是否过期,为了便于测试将过期时间设置为1分钟,在Filters文件夹下添加一个自定义过滤器。
通过上述手段,可以实现session和窗体身份的双重检测,避免seesion过期而身份依然存在可以访问的问题。
namespace AuthStudy.Filters
{
public class CustomFilterAttribute :ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
if (filterContext.HttpContext.Session["username"] == null)
{
FormsAuthentication.SignOut();
filterContext.HttpContext.Response.Redirect("/Home/Test", true);
}
filterContext.HttpContext.Response.Write("开始时间:" + DateTime.Now.ToString() + "<br/>");
}
}
}
当session中的用户名消失,调用FormsAuthentication.SignOut()方法清除客户端的鉴权cookies,然后跳转到一个新页面。然后对action添加这个过滤器即可:
[CustomFilter]
public class MainController : Controller
{
[Authorize(Roles = "Manager")]
public ActionResult Index()
{
return View();
}
public ActionResult LogOff()
{
FormsAuthentication.SignOut();
return RedirectToAction("Index", "Main");
}
}
经过测试,当超过一分钟后刷新页面,跳转到了指定的提示页面上。当我们试图进入需要授权的 /main/index 页面时,发现页面跳转到了登陆页也就是/Home/index上,浏览器显示的url为http://localhost:38565/Home/Index?ReturnUrl=%2fmain%2findex,说明这个页面是从/main/index跳转而来,证实其鉴权cookies已经被清除。通过上述手段,可以实现session和窗体身份的双重检测,避免seesion过期而身份依然存在可以访问的问题。