asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户错误的处理
问题环境:用户在一个浏览器中同时打开两个登录页面,在第一个页面中输入用户名和密码登录成功,然后跳转到另一页面。但是在另一个页面中再次输入用户名和密码重新登录后却出现了:
提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户。
说明:执行当前 Web 请求期间,出现未经处理的异常。请检查堆栈跟踪信息,以了解有关该错误以及代码中导致错误的出处的详细信息。异常详细信息: System.Web.Mvc.HttpAntiForgeryException: 提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户。
登录的login页面的action使用了ValidateAntiForgeryToken
出现这种问题有人也许会说是由于用户不按牌理出牌,你说你登录还打开两个登录页。而且你已经登录成功了,你还再次登录,不是找事么。但是你不能要求用户不能打开两个登录页面。出现这种问题或许是用户在进行操作的时候打开了很多页面。刚好有两个都是登录页面。他操作一个登录成功后或许有其他事情去其他页面处理事情了。然后回来顺手打开了未登录的登录页。以为自己没登录,顺手又进行了此项操作,而导致了此问题的出现。
在网上搜索此类问题。大多都是搜索到的是用户采用ajax登录,先是匿名登录。登录成功后没跳转,再次点击登录就会出现此错误。给出的解决办法是其一,你可以刷新antiforgery token然后传到前台,再次提交的时候替换此token;第二种解决办法是用form表单的形式提交用户名和密码,登录成功后跳转到其他页面来规避此问题。这和我碰到的问题不一样。
那应该怎么解决此问题呢,我想到了mvc提供的过滤器,因为ValidateAntiForgeryToken其本质也是一个过滤器,如果我写一个过滤器,在ValidateAntiForgeryToken之前执行,先判断用户是否已经登录,如果未登录,不做任何处理。如果已经登录,直接跳转到登录成功后应该跳转的页面,应该能解决此问题。有了这个思路。在网上搜索了下过滤器的执行顺序。有两条规则:
第一条规则:
IAuthorizationFilter(OnAuthorization)----->IActionFilter(OnActionExecuting)---->控制器Action---->IActionFilter(OnActionExecuted) ---->IResultFilter(OnResultExecuting)---->视图---->IResultFilter(OnResultExecuted)
第二条规则:
[Filter1]
[Filter2]
public ActionResult DoAction(){}上面的这个 Action 配置有两个过滤器:Filter1、Filter2。这两个过滤器也肯定是有执行顺序的,但是它们的顺序与直观的上下顺序正好相反:先执行 Filter2,再执行 Filter1。
由于我的是在login action上使用的过滤器。先参考第二条规则。重写ActionFilter,代码如下:
public class LoginActionFilterAttribute : System.Web.Mvc.ActionFilterAttribute
{
public override void OnActionExecuted(ActionExecutedContext filterContext)
{
base.OnActionExecuted(filterContext);
}
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
string userName = HttpContext.Current.User.Identity.Name;
EventLog.WriteLog(userName);
if (userName != null)
{
if (HttpContext.Current.User.IsInRole("person"))
{
EventLog.WriteLog("a");
HttpContext.Current.Response.Redirect("/person", true);
}
else if (HttpContext.Current.User.IsInRole("hr"))
{
EventLog.WriteLog("b");
HttpContext.Current.Response.Redirect("/hr", true);
}
else if (HttpContext.Current.User.IsInRole("admin"))
{
EventLog.WriteLog("c");
HttpContext.Current.Response.Redirect("/admin/home", true);
}
}
base.OnActionExecuting(filterContext);
}
}// POST: /Account/Login [HttpPost] [AllowAnonymous] [ValidateAntiForgeryToken] [LoginActionFilter] public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
结果问题依旧。把
ValidateAntiForgeryToken和LoginActionFilter调换下次序,仍然是一样的结果。通过事务日志EventLog.WriteLog输出来看,在登录成功的页面只输出了Username值,是个空值。其他的分支eventLog都没输出。而在登录出现提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户这个页面,连用户名这个空值信息都没输出,这意味着ValidateAntiForgeryToken始终是先于LoginActionFilter来执行的。与第二条规则不符。分析应该是第一条规则是第一顺序,然后具体到action上才会实行第二条规则。而由于在网上搜索不到ValidateAntiForgeryToken这个过滤器在第一规则中的位置,还不清楚他在第一规则中的位置。由于这次尝试失败,打算使用AuthorizationFilter.因此创建了下面的类:
public class LoginAuthorizeAttribute : AuthorizeAttribute { protected override bool AuthorizeCore(HttpContextBase httpContext) { if (httpContext == null) { throw new ArgumentNullException("HttpContext"); } return base.AuthorizeCore(httpContext); } public override void OnAuthorization(AuthorizationContext filterContext) { string userName = filterContext.HttpContext.User.Identity.Name; EventLog.WriteLog(userName); if (userName != null) { LMIdentityDbContext db = new LMIdentityDbContext(); var user = db.Users.Find(filterContext.HttpContext.User.Identity.GetUserId()); EventLog.WriteLog(user + ""); if (user != null) { if (user.Role == "person") { EventLog.WriteLog("a"); filterContext.Result = new RedirectResult("/person", true); } else if (user.Role == "hr") { EventLog.WriteLog("b"); filterContext.Result = new RedirectResult("/hr", true); } else if (user.Role == "admin") { EventLog.WriteLog("c"); filterContext.Result = new RedirectResult("/admin/home", true); } } } base.OnAuthorization(filterContext); } }login action代码如下:
// POST: /Account/Login [HttpPost] [AllowAnonymous] [LoginAuthorize] [ValidateAntiForgeryToken] public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)结果为:当登录成功时,eventlog.WriteLog的username输出为空。而在登录出现提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户时,则 eventlog.WriteLog没有任何提示。调整 login action代码顺序如下:
// POST: /Account/Login
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
[LoginAuthorize]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
第一个打开登录页面,登录成功,第二个打开的登录页面,再次输入用户名和密码登录,登录成功,没有任何错误提示。查看日志文件的输出值。看到了EventLog.WriteLog("a");这个的输出。这意味着首先执行了LoginAuthorrize,经过判断,由于已经登录,直接跳转到登录页面,而后续的ValidateAntiForgeryToken这个过滤器不再执行。
总结:
第一条规则应该是这样:
IAuthorizationFilter(OnAuthorization)---->ValidateAntiForgeryToken----->IActionFilter(OnActionExecuting)---->控制器Action---->IActionFilter(OnActionExecuted) ---->IResultFilter(OnResultExecuting)---->视图---->IResultFilter(OnResultExecuted)
即在这个规则中,ValidateAntiForgeryToken过滤器始终先于ActionFilter过滤器执行。而具体到action方法上。如果重写的AutorizationFilter在ValidateAntiForgeryToken上面,则先执行ValidateAntiForgeryToken过滤器,否则则先执行重写的AutorizationFilter的规则。具体到此问题上,应是
// POST: /Account/Login [HttpPost] [AllowAnonymous] [ValidateAntiForgeryToken] [LoginAuthorize] public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)使用这个顺序才能正确解决此问题
重要补充:
由于又做了一个项目,在此实践过程中,发觉以上的处理方法还是有些问题。
其一,LoginAuthorizeAttribute类的OnAuthorization方法中,base.OnAuthorization(filterContext);应放置在方法的顶部,而不是最下面,原因在http://blog.csdn.net/sxf359/article/details/54928841 这篇文章中我已经介绍,这里不再细说。
其二,LoginAuthorizeAttribute在写的时候是判断是否已经登录,如果已经登录,则直接跳转到登录页面,但是这个没考虑到换账号登录的情况,如果换了账号登录,则用上面写的方法,它判断你已经登录了,而直接跳转到登录后的页面,但这不是你想要的,因为账号已经换了。因此LoginAuthorizeAttribute这个方法要改写下,在这个方法中判断有没有ValidateAntiForgeryToken的提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户错误,如果有,则表示已经登录过,这个时候再次跳到登录页面,让其重新登录,这样一是避免了错误直接暴露给了用户,另一个也能防止用户换账号登录的情况。更改后的方法如下:
public class LoginAuthorizeAttribute : AuthorizeAttribute { protected override bool AuthorizeCore(HttpContextBase httpContext) { if (httpContext == null) { throw new ArgumentNullException("HttpContext"); } return base.AuthorizeCore(httpContext); } public override void OnAuthorization(AuthorizationContext filterContext) { base.OnAuthorization(filterContext); if (filterContext == null) { throw new ArgumentNullException("filterContext"); } if (filterContext.HttpContext.User != null && filterContext.HttpContext.User.Identity != null) { //EventLog.WriteLog("start4"); try { //EventLog.WriteLog("start5"); System.Web.Helpers.AntiForgery.Validate(); //EventLog.WriteLog("start7"); } catch(Exception ex) { EventLog.WriteLog("start6"); filterContext.Result = new RedirectResult("/account/login", true); return; //throw; } } else { EventLog.WriteLog("start3"); } } }其三、在上面总结的规则中,ACTION上面过滤器的规则执行顺序是自下而上执行。但经过两个项目的实践,其实不是这么回事,它有时是自下而上执行,但有时是自上而下执行。而且这个还不是随机的。有段时间自下而上顺序起作用,有段时间又变成了自上而下执行。这真令人崩溃。这就导致了
你以为这个错误已经避免了,但错误日志中同样的错误过段时间又出现了。我采取的解决办法是,你既然有时自下而上,有时自上而下,那我在ValidateAntiForgeryToken上下都放一个登陆效验过滤器,以避免这种情况。
[HttpPost] [AllowAnonymous]
[LoginAuthorize][ ValidateAntiForgeryToken ]
[LoginAuthorize]
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
更改后就是这个样子
这种处理是丑陋的,同一方法执行两次有点不能容忍,若想避免这种情况,或许要自己写一个类似的ValidateAntiForgeryToken的方法,来替代vs的ValidateAntiForgeryToken方法,以便彻底解决此问题。先这样,以后有空了写一个这样得方法
现在新写了篇文章 自写过滤器替代ValidateAntiForgeryToken解决asp.net mvc关于提供的防伪标记适用于其他基于声明的用户,而不适用于当前用户的错误 , 有兴趣的可以看看