ActiveDirectoryMembershipProvider 和 SqlRoleProvider：维护？

Question

在一个新项目中，我计划使用 ActiveDirectoryMembershipProvider 和 SqlRoleProvider 分别提供身份验证和授权。

我不清楚的一件事是如何处理维护 - 当已登录并被分配角色的用户从 Active Directory 中删除时，如何删除 SqlRoleProvider 使用的映射表中的孤立记录？我相信这是 aspnet_UsersInRoles 表。

人们可以定期查询 Active Directory 中是否有禁用的用户，然后调用 Roles.RemoveUserFromRoles(UserId, Roles.GetRolesForUser(UserId)) 迭代该列表，其中 UserId 也在 aspnet_UsersInRoles 中。我想，对于一个大型组织来说，速度非常慢。

或者，对于 UsersInRoles 中的每个不同 UserId，查询 ActiveDirectory 并确保 userAccountControl 属性的位掩码不表明该帐户已被禁用。对于大量应用程序用户来说，效率也非常低。

一种更丑陋但更有效的方法是存储上次登录日期并定期清除六个月未登录的用户的角色关联。这可能会导致头痛。

我很想听听建议。

Answer 1

是的，您必须手动进行清理。您需要即时更新吗？如果您可以执行每晚运行的批处理过程，那么这将是高效的，因为它不在核心运行时间内运行。或者，一旦您意识到这一点，就可以在另一个线程中启动一个进程来处理角色的删除，这可能是有意义的。删除每个用户访问的角色会在用户之间共享影响，并使他们认为应用程序很慢。

角色被删除了多少次？如果很多，那么考虑批处理，如果几年一次，那么在某个过程中将其添加到应用程序中可能不是那么大的问题。

至于如何操作，您可以使用 API，但 aspnet_UsersInRoles 和 aspnet_roles 表也可以通过 SQL 脚本轻松地自行擦除。

HTH。