Требовать от аутентифицированного пользователя смены пароля

Question

Используя ASP.Net Forms и ASP.Net MVC 3 (вместе - мы находимся в процессе изменения веб-форм на MVC), у меня есть сценарий, когда человек аутентифицируется (имя пользователя / пароль), но из-за существующего определенного условия в свою учетную запись, они должны изменить свой пароль, прежде чем продолжить.

Поскольку пользователь уже прошел аутентификацию, существует ли глобальное местоположение, в котором я могу запретить любой доступ к частям сайта, требующим аутентификации, до тех пор, пока они не введут свой новый пароль? Я понимаю, что может потребоваться 2 местоположения (одно для веб-форм, другое для MVC).

Answer 1

В Application_AuthenticateRequest проверьте наличие определенного условия.Если не встретились (то есть они должны изменить pwd), перенаправьте на соответствующую страницу.Это должно работать для MVC и WebForms.

Answer 2

Я бы поставил его как свойство в модели User (т. Е. Public bool ChangedPassword {get; set;}).Это будет установлено как Ложь, когда пользователь создан, и установлено как Истина, когда пользователь меняет пароль.Перед любым защищенным действием проверьте, является ли ChangedPassword == True.

Answer 3

У вас может быть собственный RoleProvider, который использует флаг в классе пользователя для определения необходимости изменения пароля перед проверкой роли для пользователя.