asp.net mvc关于提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户错误的处理

最新推荐文章于 2017-09-03 18:15:28 发布

sxf359

最新推荐文章于 2017-09-03 18:15:28 发布

阅读量6k

点赞数

分类专栏： asp.net MVC

本文链接：https://blog.csdn.net/sxf359/article/details/52757834

版权

asp.net MVC 专栏收录该内容

88 篇文章 1 订阅

订阅专栏

问题环境：用户在一个浏览器中同时打开两个登录页面，在第一个页面中输入用户名和密码登录成功，然后跳转到另一页面。但是在另一个页面中再次输入用户名和密码重新登录后却出现了：

提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户。

说明:执行当前 Web 请求期间，出现未经处理的异常。请检查堆栈跟踪信息，以了解有关该错误以及代码中导致错误的出处的详细信息。

异常详细信息: System.Web.Mvc.HttpAntiForgeryException: 提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户。

登录的login页面的action使用了ValidateAntiForgeryToken

出现这种问题有人也许会说是由于用户不按牌理出牌，你说你登录还打开两个登录页。而且你已经登录成功了，你还再次登录，不是找事么。但是你不能要求用户不能打开两个登录页面。出现这种问题或许是用户在进行操作的时候打开了很多页面。刚好有两个都是登录页面。他操作一个登录成功后或许有其他事情去其他页面处理事情了。然后回来顺手打开了未登录的登录页。以为自己没登录，顺手又进行了此项操作，而导致了此问题的出现。

在网上搜索此类问题。大多都是搜索到的是用户采用ajax登录，先是匿名登录。登录成功后没跳转，再次点击登录就会出现此错误。给出的解决办法是其一，你可以刷新antiforgery token然后传到前台，再次提交的时候替换此token；第二种解决办法是用form表单的形式提交用户名和密码，登录成功后跳转到其他页面来规避此问题。这和我碰到的问题不一样。

那应该怎么解决此问题呢，我想到了mvc提供的过滤器，因为ValidateAntiForgeryToken其本质也是一个过滤器，如果我写一个过滤器，在ValidateAntiForgeryToken之前执行，先判断用户是否已经登录，如果未登录，不做任何处理。如果已经登录，直接跳转到登录成功后应该跳转的页面，应该能解决此问题。有了这个思路。在网上搜索了下过滤器的执行顺序。有两条规则：

第一条规则：

IAuthorizationFilter(OnAuthorization)----->IActionFilter(OnActionExecuting)---->控制器Action---->IActionFilter(OnActionExecuted) ---->IResultFilter(OnResultExecuting)---->视图---->IResultFilter(OnResultExecuted)

第二条规则：

[Filter1]
[Filter2]
public ActionResult DoAction(){}

上面的这个 Action 配置有两个过滤器：Filter1、Filter2。这两个过滤器也肯定是有执行顺序的，但是它们的顺序与直观的上下顺序正好相反：先执行 Filter2，再执行 Filter1。

由于我的是在login action上使用的过滤器。先参考第二条规则。重写ActionFilter,代码如下：

 public class LoginActionFilterAttribute : System.Web.Mvc.ActionFilterAttribute
    {
        public override void OnActionExecuted(ActionExecutedContext filterContext)
        {
           
            base.OnActionExecuted(filterContext);
        }
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            string userName = HttpContext.Current.User.Identity.Name;
            EventLog.WriteLog(userName);
            if (userName != null)
            {
                if (HttpContext.Current.User.IsInRole("person"))
                {
                    EventLog.WriteLog("a");
                    HttpContext.Current.Response.Redirect("/person", true);

                }
                else if (HttpContext.Current.User.IsInRole("hr"))
                {
                    EventLog.WriteLog("b");
                    HttpContext.Current.Response.Redirect("/hr", true);
                }
                else if (HttpContext.Current.User.IsInRole("admin"))
                {
                    EventLog.WriteLog("c");
                    HttpContext.Current.Response.Redirect("/admin/home", true);
                }
            }

            base.OnActionExecuting(filterContext);
        }
}

然后把这个附加到login上：

//  POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
[LoginActionFilter]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)

结果问题依旧。把ValidateAntiForgeryToken和LoginActionFilter调换下次序，仍然是一样的结果。通过事务日志EventLog.WriteLog输出来看，在登录成功的页面只输出了Username值，是个空值。其他的分支eventLog都没输出。而在登录出现提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户这个页面，连用户名这个空值信息都没输出，这意味着ValidateAntiForgeryToken始终是先于LoginActionFilter来执行的。与第二条规则不符。分析应该是第一条规则是第一顺序，然后具体到action上才会实行第二条规则。而由于在网上搜索不到ValidateAntiForgeryToken这个过滤器在第一规则中的位置，还不清楚他在第一规则中的位置。由于这次尝试失败，打算使用AuthorizationFilter.因此创建了下面的类：
public class LoginAuthorizeAttribute : AuthorizeAttribute
    {
 
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            if (httpContext == null)
            {
                throw new ArgumentNullException("HttpContext");
            }
            return base.AuthorizeCore(httpContext);
        }
 
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
 
            string userName = filterContext.HttpContext.User.Identity.Name;
            EventLog.WriteLog(userName);
            if (userName != null)
            {
                LMIdentityDbContext db = new LMIdentityDbContext();
                var user = db.Users.Find(filterContext.HttpContext.User.Identity.GetUserId());
                EventLog.WriteLog(user + "");
                if (user != null)
                {
                    if (user.Role == "person")
                    {
                        EventLog.WriteLog("a");
                        filterContext.Result = new RedirectResult("/person", true);
 
 
                    }
                    else if (user.Role == "hr")
                    {
                        EventLog.WriteLog("b");
                        filterContext.Result = new RedirectResult("/hr", true);
                    }
                    else if (user.Role == "admin")
                    {
                        EventLog.WriteLog("c");
                        filterContext.Result = new RedirectResult("/admin/home", true);
                    }
                }
            }
 
            base.OnAuthorization(filterContext);
 
        }
    }
login action代码如下：
//  POST: /Account/Login
       [HttpPost]
       [AllowAnonymous]
       [LoginAuthorize]
       [ValidateAntiForgeryToken] 
       public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
结果为：当登录成功时，eventlog.WriteLog的username输出为空。而在登录出现提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户时，则eventlog.WriteLog没有任何提示。调整login action代码顺序如下：
//  POST: /Account/Login
      [HttpPost]
      [AllowAnonymous]
      [ValidateAntiForgeryToken]
      [LoginAuthorize]
      public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
第一个打开登录页面，登录成功，第二个打开的登录页面，再次输入用户名和密码登录，登录成功，没有任何错误提示。查看日志文件的输出值。看到了EventLog.WriteLog("a");这个的输出。这意味着首先执行了LoginAuthorrize，经过判断，由于已经登录，直接跳转到登录页面，而后续的ValidateAntiForgeryToken这个过滤器不再执行。
总结：
第一条规则应该是这样：
IAuthorizationFilter(OnAuthorization)---->ValidateAntiForgeryToken----->IActionFilter(OnActionExecuting)---->控制器Action---->IActionFilter(OnActionExecuted) ---->IResultFilter(OnResultExecuting)---->视图---->IResultFilter(OnResultExecuted)

即在这个规则中，ValidateAntiForgeryToken过滤器始终先于ActionFilter过滤器执行。而具体到action方法上。如果重写的AutorizationFilter在ValidateAntiForgeryToken上面，则先执行ValidateAntiForgeryToken过滤器，否则则先执行重写的AutorizationFilter的规则。具体到此问题上，应是

//  POST: /Account/Login
        [HttpPost]
        [AllowAnonymous]
        [ValidateAntiForgeryToken]
        [LoginAuthorize]
        public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)

使用这个顺序才能正确解决此问题

重要补充：
由于又做了一个项目，在此实践过程中，发觉以上的处理方法还是有些问题。

其一，LoginAuthorizeAttribute类的OnAuthorization方法中，base.OnAuthorization(filterContext);应放置在方法的顶部，而不是最下面，原因在http://blog.csdn.net/sxf359/article/details/54928841 这篇文章中我已经介绍，这里不再细说。

其二，LoginAuthorizeAttribute在写的时候是判断是否已经登录，如果已经登录，则直接跳转到登录页面，但是这个没考虑到换账号登录的情况，如果换了账号登录，则用上面写的方法，它判断你已经登录了，而直接跳转到登录后的页面，但这不是你想要的，因为账号已经换了。因此LoginAuthorizeAttribute这个方法要改写下，在这个方法中判断有没有ValidateAntiForgeryToken的提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户错误，如果有，则表示已经登录过，这个时候再次跳到登录页面，让其重新登录，这样一是避免了错误直接暴露给了用户，另一个也能防止用户换账号登录的情况。更改后的方法如下：

public class LoginAuthorizeAttribute : AuthorizeAttribute
    {
 
        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            if (httpContext == null)
            {
                throw new ArgumentNullException("HttpContext");
            }
            return base.AuthorizeCore(httpContext);
        }
 
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
           
            base.OnAuthorization(filterContext);
           
            if (filterContext == null)
            {
                throw new ArgumentNullException("filterContext");
            }
 
            if (filterContext.HttpContext.User != null &&
                filterContext.HttpContext.User.Identity != null)
            {
                //EventLog.WriteLog("start4");
                try
                {
                    //EventLog.WriteLog("start5");
                    System.Web.Helpers.AntiForgery.Validate();
                    //EventLog.WriteLog("start7");
                }
                catch(Exception ex)
                {
                    EventLog.WriteLog("start6");
                    filterContext.Result = new RedirectResult("/account/login", true);
                    return;
                    //throw;
                }
            }
            else
            {
               EventLog.WriteLog("start3");
            }
 
 
 
 
        }
    }

其三、在上面总结的规则中，ACTION上面过滤器的规则执行顺序是自下而上执行。但经过两个项目的实践，其实不是这么回事，它有时是自下而上执行，但有时是自上而下执行。而且这个还不是随机的。有段时间自下而上顺序起作用，有段时间又变成了自上而下执行。这真令人崩溃。这就导致了

你以为这个错误已经避免了，但错误日志中同样的错误过段时间又出现了。我采取的解决办法是，你既然有时自下而上，有时自上而下，那我在ValidateAntiForgeryToken上下都放一个登陆效验过滤器，以避免这种情况。

[HttpPost]
[AllowAnonymous]

[LoginAuthorize]
[ValidateAntiForgeryToken]

[LoginAuthorize]

public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)

更改后就是这个样子

这种处理是丑陋的，同一方法执行两次有点不能容忍，若想避免这种情况，或许要自己写一个类似的ValidateAntiForgeryToken的方法，来替代vs的ValidateAntiForgeryToken方法，以便彻底解决此问题。先这样，以后有空了写一个这样得方法

现在新写了篇文章自写过滤器替代ValidateAntiForgeryToken解决asp.net mvc关于提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户的错误，有兴趣的可以看看

sxf359

关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
asp.net mvc关于提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户错误的处理

问题环境：用户在一个浏览器中同时打开两个登录页面，在第一个页面中输入用户名和密码登录成功，然后跳转到另一页面。但是在另一个页面中再次输入用户名和密码重新登录后却出现了：提供的防伪标记适用于其他基于声明的用户，而不适用于当前用户。说明:执行当前 Web 请求期间，出现未经处理的异常。请检查堆栈跟踪信息，以了解有关该错误以及代码中导致错误的出处的详细信息。异常详细信息: S
复制链接

扫一扫