防止多次登录
Posted
技术标签:
【中文标题】防止多次登录【英文标题】:Prevent multiple logins 【发布时间】:2015-10-28 03:46:52 【问题描述】:我试图在我的应用程序中阻止同一用户的多次登录。 我的想法是在用户登录时更新安全标记并将其添加为声明,然后在每个请求中将 cookie 中的标记与数据库中的标记进行比较。这就是我的实现方式:
public virtual async Task<ActionResult> Login([Bind(Include = "Email,Password,RememberMe")] LoginViewModel model, string returnUrl)
if (!ModelState.IsValid)
return View(model);
SignInStatus result =
await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, false);
switch (result)
case SignInStatus.Success:
var user = UserManager.FindByEmail(model.Email);
var id = user.Id;
UserManager.UpdateSecurityStamp(user.Id);
var securityStamp = UserManager.FindByEmail(model.Email).SecurityStamp;
UserManager.AddClaim(id, new Claim("SecurityStamp", securityStamp));
然后在身份验证配置中我添加了
app.UseCookieAuthentication(new CookieAuthenticationOptions
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider
OnValidateIdentity = ctx =>
var ret = Task.Run(() =>
Claim claim = ctx.Identity.FindFirst("SecurityStamp");
if (claim != null)
var userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(new ApplicationDbContext()));
var user = userManager.FindById(ctx.Identity.GetUserId());
// invalidate session, if SecurityStamp has changed
if (user != null && user.SecurityStamp != null && user.SecurityStamp != claim.Value)
ctx.RejectIdentity();
);
return ret;
);
正如它所显示的那样,我试图将 cookie 中的声明与数据库中的声明进行比较,如果它们不同,则拒绝身份。 现在,每次用户登录时,安全标记都会更新,但用户 cookie 中的值不同,我不知道为什么?我怀疑可能是新更新的安全标记没有存储在用户的 cookie 中?
【问题讨论】:
我认为你的方法太复杂了。我做过类似的。使用静态列表CurrentUsers 创建一个静态类。当用户登录时,检查该列表。拒绝当前。复杂的决定是什么事件意味着删除CurrentUsers 的用户。注销显然是一个原因。但是,您是否希望允许用户保留 cookie,但在会话运行被回收(浏览器连接终止)时将其删除为当前?在这种情况下,在Session_OnEnd() 方法中,您将从CurrentUsers 中删除用户。
【参考方案1】:
解决方案比您开始实施的要简单一些。但想法是一样的:每次用户登录时,都更改他们的安全标记。这将使所有其他登录会话无效。因此会教用户不要分享他们的密码。
我刚刚从标准 VS2013 模板创建了一个新的 MVC5 应用程序,并成功地实现了您想要做的事情。
登录方式。您需要在创建 auth cookie 之前更改安全标记,因为在设置 cookie 之后,您无法轻松更新值:
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
if (!ModelState.IsValid)
return View(model);
// check if username/password pair match.
var loggedinUser = await UserManager.FindAsync(model.Email, model.Password);
if (loggedinUser != null)
// change the security stamp only on correct username/password
await UserManager.UpdateSecurityStampAsync(loggedinUser.Id);
// do sign-in
var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
switch (result)
case SignInStatus.Success:
return RedirectToLocal(returnUrl);
case SignInStatus.LockedOut:
return View("Lockout");
case SignInStatus.RequiresVerification:
return RedirectToAction("SendCode", new ReturnUrl = returnUrl, RememberMe = model.RememberMe );
case SignInStatus.Failure:
default:
ModelState.AddModelError("", "Invalid login attempt.");
return View(model);
这样,每次登录都会使用新的安全标记对用户记录进行更新。更新安全标记只需await UserManager.UpdateSecurityStampAsync(user.Id); - 比您想象的要简单得多。
下一步是检查每个请求的安全标记。您已经在Startup.Auth.cs 中找到了最佳连接点,但您又过于复杂了。该框架已经完成了您需要做的事情,您需要稍微调整一下:
app.UseCookieAuthentication(new CookieAuthenticationOptions
// other stuff
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider
OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
validateInterval: TimeSpan.FromMinutes(0), // <-- Note the timer is set for zero
regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
);
时间间隔设置为零 - 意味着每个请求的框架都会将用户的安全标记与数据库进行比较。如果cookie中的stamp与数据库中的stamp不匹配,则用户的auth-cookie被丢弃,要求他们注销。
但是,请注意,对于来自用户的每个 HTTP 请求,这都会对您的数据库产生额外的请求。在大型用户群中,这可能会很昂贵,您可以将检查间隔增加至几分钟 - 将减少对数据库的请求,但仍会传达有关不共享登录详细信息的消息。
Full source in github
More information in a blog-post
【讨论】:
我尝试在新的 Visual Studio 项目中复制您的解决方案,但我不能。 好的,等一下,我去看看。 @SharathChandra 我已经完成了 WinAuth 和 OWIN 身份验证(没有身份),但这超出了这个问题的范围。我没有实施防止多次登录,因为同一个用户在多个地方登录是有正当理由的。但我确信这是可以做到的。 @trailmax,嗨,我的应用程序中的问题是会话没有被放弃,只有身份验证 cookie 过期(这是正确的)。现在,在为用户创建新会话之前,我在登录操作上添加了会话清理代码。 @trailmax 嗨,我有兴趣在ASP.NET Core v.2 中实现此功能,您能否也为新版本更新您的答案?因为cookie 代码在最后一个版本中不起作用,在此先感谢。【参考方案2】:
过去我使用 IAuthorizationFilter 和静态登录用户集合来实现此目的:
public static class WebAppData
public static ConcurrentDictionary<string, AppUser> Users = new ConcurrentDictionary<string, AppUser>();
public class AuthorisationAttribute : FilterAttribute, IAuthorizationFilter
public void OnAuthorization(AuthorizationContext filterContext)
...
Handle claims authentication
...
AppUser id = WebAppData.Users.Where(u=>u.Key ==userName).Select(u=>u.Value).FirstOrDefault();
if (id == null)
id = new AppUser ... ;
id.SessionId = filterContext.HttpContext.Session.SessionID;
WebAppData.Users.TryAdd(userName, id);
else
if (id.SessionId != filterContext.HttpContext.Session.SessionID)
FormsAuthentication.SignOut();
...
return appropriate error response depending is it ajax request or not
...
注销时:
WebAppData.Users.TryRemove(userName, out user)
【讨论】:
当用户在没有退出的情况下关闭浏览器会发生什么?FormsAuthentication 有点不适用于身份框架
这将不在 Amazon 或 AWS 上使用负载平衡,因为 ConcurrentDictionary<string, AppUser> Users 内容只能在同一台机器上可见以上是关于防止多次登录的主要内容,如果未能解决你的问题,请参考以下文章