OWIN - Authentication.SignOut(), похоже, не удаляет файл cookie
У меня возникли проблемы с аутентификацией OWIN Cookie. У меня есть сайт .Net, на котором есть некоторые страницы MVC, которые используют аутентификацию файлов cookie и ресурсы WebAPI, защищенные маркером-носителем.
Когда я выхожу из системы, я удаляю токен доступа на клиенте, поэтому последующие запросы API не будут иметь токен в заголовке и, таким образом, не смогут выполнить аутентификацию. Эта часть в порядке.
Таким же образом мне также хотелось бы выйти из системы, чтобы удалить файл cookie, используемый страницами MVC. На сервере я сделал следующее:
[Route("Logout")]
public IHttpActionResult Logout()
{
var ctx = Request.GetOwinContext();
var authenticationManager = ctx.Authentication;
authenticationManager.SignOut();
return Ok();
}
Однако после вызова Logout я все равно могу попасть на защищенную страницу MVC, хотя файл cookie предположительно был удален при вызове Logout.
Кажется, это так просто, поэтому я, возможно, что-то пропустил.
Спасибо,
Ответы
Ответ 1
У меня была аналогичная проблема за последние несколько дней. Вместо
Request.GetOwinContext().Authentication.authenticationManager.SignOut();
Используйте ОДИН (и только один) из них:
Request.GetOwinContext().Authentication.SignOut();
Request.GetOwinContext().Authentication.SignOut(Microsoft.AspNet.Identity.DefaultAuthenticationTypes.ApplicationCookie);
HttpContext.Current.GetOwinContext().Authentication.SignOut(Microsoft.AspNet.Identity.DefaultAuthenticationTypes.ApplicationCookie);
В этой статье объясняется, почему ваши файлы cookie не удаляются: http://dotnet.dzone.com/articles/catching-systemwebowin-cookie
Я знаю, что мой ответ не самый основанный на исследованиях, но, честно говоря, я просто не мог найти ПОЧЕМУ мои приведенные примеры кода работают для меня. Я просто знаю, что System.Web испортит файлы cookie Owins, если вы используете SignOut() другим способом.
Ответ 2
Другие варианты не помогли мне, однако я смог решить эту проблему, выполнив следующие действия.
В файле Startup.cs вы можете установить способ сохранения файла cookie:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationType = "ExternalCookie",
AuthenticationMode = AuthenticationMode.Passive,
CookieName = ".AspNet.SomeName",
ExpireTimeSpan = TimeSpan.FromMinutes(5)
});
В приведенном выше примере кода вы можете указать имя файла cookie на ".AspNet.SomeName".
Теперь вы можете уничтожить его, просто установив срок действия файлов cookie на прошлую дату:
if (HttpContext.Current.Request.Cookies[".AspNet.SomeName"] != null)
{
HttpCookie myCookie = new HttpCookie(".AspNet.SomeName");
myCookie.Expires = DateTime.Now.AddYears(-1);
HttpContext.Current.Response.Cookies.Add(myCookie);
}
Ответ 3
Это сработало для меня. Бросьте его в контроллер, если вы хотите аннулировать файл cookie. В частности, я использовал это для обновления пользовательских ролей, чтобы пользователю не приходилось вручную вручную выходить из системы и снова входить, чтобы исправить меню, загружаемое в @if(User.IsInRole("Admin")){...}. Надеюсь, это поможет кому-то - мне потребовалось некоторое время, чтобы понять это.
var updatedUser = await UserManager.FindByNameAsync(User.Identity.Name);
var newIdentity = await updatedUser.GenerateUserIdentityAsync(UserManager);
AuthenticationManager.SignOut();
AuthenticationManager.SignIn(newIdentity);
Ответ 4
Я следил за всем решением выше, но я смутился в конце, потому что пользователь не выходил из системы. Наконец, моя проблема решена:
Request.GetOwinContext().Authentication.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
FederatedAuthentication.SessionAuthenticationModule.SignOut();
Поскольку я использовал SessionAuthenticationModule для сохранения претензий в нем, то после выхода из системы пользователь мог использовать приложение из-за существующего FedAut в файлах cookie.
Ответ 5
AuthenticationManager.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
FormsAuthentication.SignOut();
Session.Abandon();
Ответ 6
Об отключении ASP.Net MVC не работает: -
У меня была проблема, когда приложение, размещенное на IIS в производственных режимах, не работало с хромом
хотя он работал правильно
- использование хостинга Visual Studio Dev во всех браузерах
- в режиме производства через IE
У меня были проблемы с Startup.Auth.CS.
Удостоверьтесь, что дублирующие конфигурации не существуют для следующих вещей.
app.CreatePerOwinContext<ApplicationUserManager>(ApplicationUserManager.Create);
app.UseCookieAuthentication((new CookieAuthenticationOptions(.....))
Ответ 7
В последние несколько дней у меня была похожая проблема с некоторыми образцами Microsoft Azure.
Решено с помощью:
public IHttpActionResult Index()
{
HttpContext.Current.GetOwinContext().Authentication.SignOut(
CookieAuthenticationDefaults.AuthenticationType,
OpenIdConnectAuthenticationDefaults.AuthenticationType);
return Ok();
}
Ответ 8
Я получил это, чтобы работать. Вот что я сделал:
Когда я вызвал действие Logout выше, я использовал Fiddler, поскольку я все еще тестировал функцию выхода из системы. Я поставил точку останова внутри и да, метод успешно вызван. Он вызывает authenticationManager.SignOut(), однако моя защищенная страница все еще работает.
Поэтому вместо использования Fiddler я решил поместить код в клиенте:
var token = sessionStorage.getItem(tokenKey);
var headers = {};
if (token) {
headers.Authorization = 'Bearer ' + token;
}
$.ajax({
type: 'POST',
url: '/api/Account/Logout',
headers: headers
}).done(function (data) {
self.result("Logout Done!");
}).fail(showError);
Проложите этот код до кнопки Logout и voila! На защищенной странице MVC теперь появляется ожидаемая ошибка 401 Unauthorized после нажатия кнопки "Выход". Как обычно, ресурс WebAPI также имеет ожидаемую ошибку 401.
Он работает в конце концов, я думаю, что процесс использования Fiddler для тестирования каким-то образом вызывает проблему. Однако я не могу объяснить, почему это так.
Спасибо за чтение.
