Сессия не истекает?

Question

Возможно, мой вопрос глуп, но он сводит меня с ума, вы видите, у меня есть это приложение, его сеанс не истекает после выхода из системы, даже если я использовал Session.Abandon (), Session.Clear () и Session.Removeall().Я искал по всему интернету, но пока не повезло, и я действительно хотел бы получить некоторую помощь.Скажем, у меня есть пользователь X, если я делаю следующее, любой может войти в систему с учетной записью X:

1 - Войти с именем пользователя и паролем X.2- Сеанс ".ASPXFORMSAUTH" информация.3- Выйдите из учетной записи X. 4- Добавьте сессию ".ASPXFORMSAUTH" с ее значением, например, используя fire fox "add cookie function".5- введите URL-адрес и нажмите «Ввод», страница только что открылась, и это действительно сводит меня с ума !!

Заранее спасибо

Answer 1

Вам также необходимо вызвать FormsAuthentication.SignOut ()

Answer 2

В этом случае у вас есть дополнительный флаг в сеансе (например, «ACtive»), который может быть установлен в false во время выхода из системы.Исходя из этого, вы можете переадресовать пользователя для входа в систему или любой другой общей страницы, которую вы хотите ..

Я не уверен, существует ли определенный способ справиться с этим, но я бы сделал что-то, как я сказал.

Сценарий, в котором пользователь уже вышел из системы с помощью FormsAuthentication.Signout () и пытается взломать систему, используя тот же cookie-файл (он каким-то образом получил к нему доступ) для доступа к аутентифицированной части веб-сайта.В таком сценарии рекомендации от Microsoft также предлагают использовать механизм персистентности для регистрации / отслеживания выхода пользователя и использования информации, чтобы перенаправить его на страницу входа (и снова удалить cookie) в последующих поддельных запросах.

Ссылка: Прочтите маркированный пункт 3 в разделе «Примечания»