代码之家 › 专栏 › 技术社区 › HumbleBeginnings

如何在禁用用户的2fa后正确删除.aspnet.twofactorrememberbrowser cookie?

asp.net-identity asp.net-mvc .net asp.net

HumbleBeginnings · 技术社区 · 6 年前

Microsoft.aspnet.Identity 2.2版: 当用户禁用2FA时(从以前启用) 用户的cookie .AspNet.TwoFactorRememberBrowser 残余 考虑到权利的限制,可能会造成安全风险。我正在寻找一种干净、适当的方法来删除该用户的cookie,或者我应该将过期日期改为过去的某个日期—如果是这样,我该怎么做?我在谷歌上搜了一大串都没有用,就好像没人知道饼干还在。

1 回复 | 直到 6 年前

HumbleBeginnings 6 年前

因此,在没有更好的方法的情况下,看起来这将为异步函数提供帮助。 /管理/禁用事实验证 . 注意 IsPersistent=真 移除cookie IsPersistent=假 只需设置过期日期。

' POST: /Manage/DisableTwoFactorAuthentication
<HttpPost>
<ValidateAntiForgeryToken>
Public Async Function DisableTwoFactorAuthentication() As Task(Of ActionResult)
    Await UserManager.SetTwoFactorEnabledAsync(User.Identity.GetUserId(), False)
    Dim userInfo = Await UserManager.FindByIdAsync(User.Identity.GetUserId())
    If userInfo IsNot Nothing Then
        Await SignInManager.SignInAsync(userInfo, isPersistent:=False, rememberBrowser:=False)
        Dim rememberBrowserIdentity = AuthenticationManager.CreateTwoFactorRememberBrowserIdentity(userInfo.Id)
        AuthenticationManager.SignIn(New AuthenticationProperties With {
            .IsPersistent = True,   'False still leaves old cookie but with expired date
            .ExpiresUtc = Date.UtcNow.AddDays(-1)
        }, rememberBrowserIdentity)
    End If
    Return RedirectToAction("Index", "Manage")
End Function

希望这能帮助别人!-)

推荐文章

Yasser Jarouf · IdentityServer4将用户存储在没有EF的数据库中并处理大量授权场景

7 年前

Mohamed Arham · 无法从int转换为Project。型号。应用程序用户

7 年前

Dave Smash · ASP。Net Core MVC标识-添加临时(会话)声明

7 年前

David Létourneau · 无法使用ASP添加迁移。净核心2

7 年前

Raas Masood · azure中是否有现成的身份提供程序?

7 年前

Aldemar Cuartas Carvajal · 角色管理器。DeleteAsync或UpdateAsync在asp中未按预期工作。net core 2.0

7 年前

l_degaray · 如何在视图MVC5中检查用户角色

7 年前

Karan Desai · 默认ASP的正则表达式。NET Core身份密码

7 年前

Bartek ChyÅ¼y · 使用者IsInRole()始终仅在控制器中返回false

7 年前

jbassking10 · ASP。使用网站和web api重置Net Identity密码

7 年前