我应该在LogOff方法中使用Session.Abandon()吗?
问题描述:
技术我使用的是:我应该在LogOff方法中使用Session.Abandon()吗?
- MVC V2
- 窗体身份验证(滑动过期)
- 会话状态服务器
- 自定义授权属性
我使用状态服务器过程为我的mvc应用程序。在测试期间,当一个经过身份验证的用户点击“LogOff”按钮时,它会正确地将他们带到身份验证屏幕,并且在成功输入证书后,会将他们记录下来。但是,它会找到他们以前的会话变量状态,重新加载我给他们的任何新的权限。这是由于我如何加载用户在下面的代码:
public override void OnAuthorization(AuthorizationContext filterContext) {
if (filterContext == null)
throw new ArgumentNullException("FilterContext");
if (AuthorizeCore(filterContext.HttpContext)) {
IUser customUser = filterContext.HttpContext.Session["CustomUser"] as IUser;
if ((customUser == null) || (customUser.Name != filterContext.HttpContext.User.Identity.Name)) {
customUser = new User(filterContext.HttpContext.User.Identity.Name,
filterContext.HttpContext.User.Identity.IsAuthenticated);
}
if (_privileges.Length > 0) {
if (!customUser.HasAtLeastOnePrivilege(_privileges))
filterContext.Result = new ViewResult { ViewName = "AccessDenied" };
}
filterContext.HttpContext.Session["CustomUser"] = customUser;
}
}
所以,你可以看到我存储我的customUser在Session和值是什么是现有会话牵强,即使用户已注销之间(但滑动过期窗口内的重新登录。
所以,我的问题是,我应该把在AccountController简单Session.Abandon()呼叫我LogOff方法,或者是有一个更清洁更有利的方式处理这个?
答
Norma lly Session.Clear()应该已经足够,并删除会话中存储的所有值。 Session.Abandon()结束当前会话。它也可能触发Session_End,下一个请求将触发Session_Start。