ASP.NET应用程序身份验证问题

Question

我有一个使用表单身份验证的 ASP Web 应用程序。我没有使用 asp.net 会员资格提供程序，我正在创建自定义身份验证。因此，当用户登录时，我为他创建一张票证和一个 cookie，当用户注销时，我将删除它们。 当用户单击浏览器右上角的关闭按钮时，我遇到问题。如您所知，这是一个客户端事件，没有运行的服务器端事件。
我的问题是：
当用户单击关闭按钮以删除票证和 cookie 时，我该怎么办？

Answer 1

您应该使用非持久性 cookie。您可以通过将 false 传递给此方法的第二个参数来执行此操作： http://msdn .microsoft.com/en-us/library/twk5762b.aspx

Answer 2

您可以挂接“onbeforeunload”DOM 事件。您可以采取多种方法

1. 从客户端设置隐藏字段的值并调用 __doPostBack('fieldid')。在此字段的 value chagned 事件的服务器端事件处理程序中，删除票证和您的身份验证令牌。您可以将其设为 ajax 回发。这个想法是，即使用户关闭浏览器，您的 Web 服务器也会受到攻击，并且您将删除令牌。

2. 在同一事件处理程序中触发 Web 服务调用以删除身份验证令牌。

Answer 3

我想您可以在用户会话过期或结束后立即使用 session.Abandon() 和服务端的 session_end 事件删除票证。

就我而言，我会等到超时通过 ASP.NET 会话过期机制自行关闭会话。显然你不想依赖它，这就是为什么你需要以某种方式捕获“窗口关闭”事件并向服务器发送信号。

此链接可能会帮助您有关如何执行此操作的示例。