当用户离开站点时，如何强制 ASP.Net 会话过期？

Question

我们有一个场景，我们希望检测用户何时离开我们的站点并立即终止其 .Net 会话。 我们正在使用表单身份验证。 我们不是在谈论会话超时，我们已经有了会话超时。 我们想知道用户何时通过链接、输入地址或跟随书签浏览离开我们的网站。 如果他们返回我们的网站，即使是立即，他们也必须重新登录（我知道这不是很好的可用性 - 这是我们的客户给我们的安全要求）。

我最初的直觉是，这要么不可能，要么任何解决方案都极其不可靠。 我们提出的唯一解决方案是：

• 添加一个 JavaScript onBlur 事件处理程序，告诉服务器在用户离开站点时注销会话。
• 用户登录后，检查 HTTP 引荐来源网址以确保用户已从站点内导航。
• 将 AJAX 轮询添加回服务器以保持会话刷新（可能每隔 10 秒一次）。 当未按时接到电话时，会话将结束。

onBlur 似乎是最简单但可能最不可靠的方法 - 我不确定它是否有效。 引用方法也存在问题，因为用户可以在网站内输入地址而不点击链接。 AJAX 方法似乎可以工作，但它很复杂 - 我什至不知道如何在后端处理它。 我认为在某些情况下这可能并不总是有效。

任何想法，将不胜感激。 谢谢。

Answer 1

我已经选择了像您上面描述的那样的心跳类型场景。 Ajax 轮询或 IFRAME。 当用户关闭浏览器并经过一定的超时（10 秒？）后，您可以将其注销。

另一种选择是让网站完全在 AJAX 上运行。 因此，用户只能访问一个“URL”，并且所有内容都是动态加载的。 当然，你会以这种方式破坏各种可用性的东西，但至少你实现了你的目标。

Answer 2

如果用户关闭浏览器，或输入不同的 URL（包括选择最喜欢的 URL），则您无法检测到太多内容。

对于您网站上的链接，您可以创建通过您的网站转发的链接（即，而不是链接到 http://example.com /foo 您链接到 http://mysite.com /forwarder?dest=http://example.com/foo）。

请小心，仅转发到您想要转发的网站，否则您可能会因为“通用转发”被用于网络钓鱼等而引发安全问题。

Answer 3

您绝对需要告诉客户这是不可能的。 他们对网络的运作方式存在着基本的误解。 显然，要外交一点……见鬼，这可能是别人的工作……但它需要完成。

您的建议或它们的组合可能会在简单的概念验证中发挥作用......但它们只会给您带来支持噩梦，并且不会足够一致地发挥作用。 更糟糕的是，毫无疑问，您还会造成用户由于安全黑客攻击而根本无法使用该应用程序的情况。

Answer 4

Javascript 有一个 onUnload 事件，当浏览器被告知离开页面时会触发该事件。 当您在编辑答案时尝试按后退按钮或单击链接时，您可以在 StackOverflow 上看到这一点。

您可以使用此事件触发站点的自动注销。

但是，我不确定这是否会处理故意关闭浏览器或浏览器进程从外部终止的情况（我猜第二种情况不会发生）。

Answer 5

如果您站点内的所有导航都是通过 .NET 回发（没有简单的 html 链接或 javascript 打开语句）完成的，则如果页面加载不是回发，您可以自动注销并重定向到登录页面。 这不会在退出时结束会话，但它看起来像这样，因为如果手动导航到您的 Web 应用程序，它会强制登录。 要为所有页面获取此功能，您可以使用在 Page_Load 中执行此操作的母版页。

private void Page_Load(object sender, System.EventArgs e)
{
    if (!IsPostBack)
    {
        System.Web.Security.FormsAuthentication.SignOut();
        System.Web.Security.FormsAuthentication.RedirectToLoginPage();
    }
}