Я использую аутентификацию ванильных форм. Если у меня открыто несколько сеансов от одного и того же пользователя, и я меняю пароль в одном сеансе, другой сеанс все равно проходит аутентификацию.
Я ожидаю, что второй сеанс снова предложит мне ввести мои учетные данные.
Должен ли я записывать хешированный пароль в файл cookie и проверять его при каждом запросе, чтобы получить эту функциональность?
Мне кажется дыра в безопасности.
Это ожидаемое поведение. FormsAuthentication хранит только информацию о пользователе (с некоторыми другими данными для проверки того, что сервер действительно создал этот файл cookie). Сам файл cookie является действительным удостоверением (или билетом, или требованием). Если вас это беспокоит, вам следует сократить время действия файла cookie формы или, возможно, еще чаще звонить домой, чтобы спросить сервер, произошло ли изменение пароля, и если это так, выполните действие FormsAuthentication.SignOut(), чтобы принудительно выполнить повторную проверку. авторизоваться.
Возможно, не то, что вы хотите, чтобы FormsAuthentication делала, а то, что она делает.
Надеюсь это поможет.
как упоминалось в моем комментарии, вам нужно заставить это действие самостоятельно, если это то поведение, которое вы хотите. это может быть так же просто, как получение всех защищенных страниц из вашей собственной «SecureBasePage». на этой защищенной странице вы можете опросить свою базу данных, чтобы узнать, изменился ли пароль с тех пор, как пользователь был авторизован
