防止多次登录
Prevent multiple logins
我试图在我的应用程序中阻止同一用户的多次登录。
我的想法是在用户登录时更新安全标记并将其添加为声明,然后在每个请求中将 cookie 中的标记与数据库中的标记进行比较。我就是这样实现的:
public virtual async Task<ActionResult> Login([Bind(Include = "Email,Password,RememberMe")] LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
SignInStatus result =
await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, false);
switch (result)
{
case SignInStatus.Success:
var user = UserManager.FindByEmail(model.Email);
var id = user.Id;
UserManager.UpdateSecurityStamp(user.Id);
var securityStamp = UserManager.FindByEmail(model.Email).SecurityStamp;
UserManager.AddClaim(id, new Claim("SecurityStamp", securityStamp));
然后在身份验证配置中我添加了
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider
{
OnValidateIdentity = ctx =>
{
var ret = Task.Run(() =>
{
Claim claim = ctx.Identity.FindFirst("SecurityStamp");
if (claim != null)
{
var userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(new ApplicationDbContext()));
var user = userManager.FindById(ctx.Identity.GetUserId());
// invalidate session, if SecurityStamp has changed
if (user != null && user.SecurityStamp != null && user.SecurityStamp != claim.Value)
{
ctx.RejectIdentity();
}
}
});
return ret;
}
}
});
如图所示,我已尝试将 cookie 中的声明与数据库中的声明进行比较,如果它们不相同,则拒绝身份。
现在,每次用户登录时,安全标记都会更新,但用户 cookie 中的值不同,我无法找出原因?我怀疑是不是新更新的安全标记没有存储在用户的 cookie 中?
过去我使用 IAuthorizationFilter 和静态登录用户集合来实现这一点:
public static class WebAppData
{
public static ConcurrentDictionary<string, AppUser> Users = new ConcurrentDictionary<string, AppUser>();
}
public class AuthorisationAttribute : FilterAttribute, IAuthorizationFilter {
public void OnAuthorization(AuthorizationContext filterContext){
...
Handle claims authentication
...
AppUser id = WebAppData.Users.Where(u=>u.Key ==userName).Select(u=>u.Value).FirstOrDefault();
if (id == null){
id = new AppUser {...} ;
id.SessionId = filterContext.HttpContext.Session.SessionID;
WebAppData.Users.TryAdd(userName, id);
}
else
{
if (id.SessionId != filterContext.HttpContext.Session.SessionID)
{
FormsAuthentication.SignOut();
...
return appropriate error response depending is it ajax request or not
...
}
}
}
}
注销时:
WebAppData.Users.TryRemove(userName, out user)
该解决方案比您开始实施的要简单一些。但想法是一样的:每次用户登录时,更改他们的安全标记。这将使所有其他登录会话无效。因此将教导用户不要分享他们的密码。
我刚刚从标准 VS2013 模板创建了一个新的 MVC5 应用程序,并成功地实现了你想要做的事情。
登录方法。您需要在创建身份验证 cookie 之前更改安全标记,因为设置 cookie 后,您无法轻松更新值:
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
// check if username/password pair match.
var loggedinUser = await UserManager.FindAsync(model.Email, model.Password);
if (loggedinUser != null)
{
// change the security stamp only on correct username/password
await UserManager.UpdateSecurityStampAsync(loggedinUser.Id);
}
// do sign-in
var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
switch (result)
{
case SignInStatus.Success:
return RedirectToLocal(returnUrl);
case SignInStatus.LockedOut:
return View("Lockout");
case SignInStatus.RequiresVerification:
return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
case SignInStatus.Failure:
default:
ModelState.AddModelError("", "Invalid login attempt.");
return View(model);
}
}
这样每次登录都会使用新的安全标记更新用户记录。更新安全戳只是一件事情await UserManager.UpdateSecurityStampAsync(user.Id); - 比你想象的要简单得多。
下一步是检查每个请求的安全标记。您已经在 Startup.Auth.cs 中找到了最佳挂钩点,但您又一次过于复杂了。该框架已经做了你需要做的,你需要稍微调整一下:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
// other stuff
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider
{
OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
validateInterval: TimeSpan.FromMinutes(0), // <-- Note the timer is set for zero
regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
}
});
时间间隔设置为零 - 意味着框架在每次请求时都会将用户的安全标记与数据库进行比较。如果 cookie 中的标记与数据库中的标记不匹配,用户的 auth-cookie 将被丢弃,要求他们注销。
但是请注意,这将对用户的每个 HTTP 请求向您的数据库发出额外的请求。对于大型用户群,这可能会很昂贵,您可以将检查间隔稍微增加到几分钟 - 将减少对数据库的请求,但仍会传达您关于不共享登录详细信息的信息。
我试图在我的应用程序中阻止同一用户的多次登录。
我的想法是在用户登录时更新安全标记并将其添加为声明,然后在每个请求中将 cookie 中的标记与数据库中的标记进行比较。我就是这样实现的:
public virtual async Task<ActionResult> Login([Bind(Include = "Email,Password,RememberMe")] LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
SignInStatus result =
await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, false);
switch (result)
{
case SignInStatus.Success:
var user = UserManager.FindByEmail(model.Email);
var id = user.Id;
UserManager.UpdateSecurityStamp(user.Id);
var securityStamp = UserManager.FindByEmail(model.Email).SecurityStamp;
UserManager.AddClaim(id, new Claim("SecurityStamp", securityStamp));
然后在身份验证配置中我添加了
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider
{
OnValidateIdentity = ctx =>
{
var ret = Task.Run(() =>
{
Claim claim = ctx.Identity.FindFirst("SecurityStamp");
if (claim != null)
{
var userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(new ApplicationDbContext()));
var user = userManager.FindById(ctx.Identity.GetUserId());
// invalidate session, if SecurityStamp has changed
if (user != null && user.SecurityStamp != null && user.SecurityStamp != claim.Value)
{
ctx.RejectIdentity();
}
}
});
return ret;
}
}
});
如图所示,我已尝试将 cookie 中的声明与数据库中的声明进行比较,如果它们不相同,则拒绝身份。
现在,每次用户登录时,安全标记都会更新,但用户 cookie 中的值不同,我无法找出原因?我怀疑是不是新更新的安全标记没有存储在用户的 cookie 中?
过去我使用 IAuthorizationFilter 和静态登录用户集合来实现这一点:
public static class WebAppData
{
public static ConcurrentDictionary<string, AppUser> Users = new ConcurrentDictionary<string, AppUser>();
}
public class AuthorisationAttribute : FilterAttribute, IAuthorizationFilter {
public void OnAuthorization(AuthorizationContext filterContext){
...
Handle claims authentication
...
AppUser id = WebAppData.Users.Where(u=>u.Key ==userName).Select(u=>u.Value).FirstOrDefault();
if (id == null){
id = new AppUser {...} ;
id.SessionId = filterContext.HttpContext.Session.SessionID;
WebAppData.Users.TryAdd(userName, id);
}
else
{
if (id.SessionId != filterContext.HttpContext.Session.SessionID)
{
FormsAuthentication.SignOut();
...
return appropriate error response depending is it ajax request or not
...
}
}
}
}
注销时:
WebAppData.Users.TryRemove(userName, out user)
该解决方案比您开始实施的要简单一些。但想法是一样的:每次用户登录时,更改他们的安全标记。这将使所有其他登录会话无效。因此将教导用户不要分享他们的密码。
我刚刚从标准 VS2013 模板创建了一个新的 MVC5 应用程序,并成功地实现了你想要做的事情。
登录方法。您需要在创建身份验证 cookie 之前更改安全标记,因为设置 cookie 后,您无法轻松更新值:
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
// check if username/password pair match.
var loggedinUser = await UserManager.FindAsync(model.Email, model.Password);
if (loggedinUser != null)
{
// change the security stamp only on correct username/password
await UserManager.UpdateSecurityStampAsync(loggedinUser.Id);
}
// do sign-in
var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
switch (result)
{
case SignInStatus.Success:
return RedirectToLocal(returnUrl);
case SignInStatus.LockedOut:
return View("Lockout");
case SignInStatus.RequiresVerification:
return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
case SignInStatus.Failure:
default:
ModelState.AddModelError("", "Invalid login attempt.");
return View(model);
}
}
这样每次登录都会使用新的安全标记更新用户记录。更新安全戳只是一件事情await UserManager.UpdateSecurityStampAsync(user.Id); - 比你想象的要简单得多。
下一步是检查每个请求的安全标记。您已经在 Startup.Auth.cs 中找到了最佳挂钩点,但您又一次过于复杂了。该框架已经做了你需要做的,你需要稍微调整一下:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
// other stuff
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider
{
OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
validateInterval: TimeSpan.FromMinutes(0), // <-- Note the timer is set for zero
regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
}
});
时间间隔设置为零 - 意味着框架在每次请求时都会将用户的安全标记与数据库进行比较。如果 cookie 中的标记与数据库中的标记不匹配,用户的 auth-cookie 将被丢弃,要求他们注销。
但是请注意,这将对用户的每个 HTTP 请求向您的数据库发出额外的请求。对于大型用户群,这可能会很昂贵,您可以将检查间隔稍微增加到几分钟 - 将减少对数据库的请求,但仍会传达您关于不共享登录详细信息的信息。