本人在一个项目中使用了ASPNET内置安全认证架构,感觉十分良好,测试也挺正常,但随着项目上线,我发现了一个奇怪的问题
,比如A用户在这边登陆了,然后B用户也登陆了(不同的网段或同网段),而在某种特定的条件下(至于什么条件本人还没搞出来,很没责任心)B用户在登陆时会诡异的获得A用户的身份票证,(假设A用户是个超级管理员
)这。。。这会出人命的啊,园子里什么鸟
都有,肯定有遇到过类似的问题的大鸟,请指点一二,小弟拜上!
--------------------------------------
真正的 解决方案:
(实际上KernelOutputCache被禁用后,COOKIES依然会被分发到不同的用户主机上,也就是说所谓的MS的解决方案对偶一点用页没,当你放弃对MS的期望后,思路却一下开拓了许多,一个异常简单却有效的解决方法,用一个IFRAME包住需要产生COOKIE的部分(例如登陆)就OK了,我原来的登陆是使用AJAX,所以直接作为控件包容在页面中,在IFRAME部分的页面是不被缓冲的,所以不会受到KernelOutputCache的任何影响!)
症状
考
虑以下方案。 Microsoft ASP.NET 页包含 < % OutputCache % > 指令。 此外, ASP.NET
页面生成包含 Cookie 设置 - 响应一个 HTTP 头。 在此方案, HTTP 协议堆栈 (HTTP.sys) 内核缓存
Microsoft Internet Information Services (IIS) 6.0 中存储 ASP.NET 页。 因此,
谁访问同一页多用户可能收到相同 Cookie。
替代方法
要解决此问题, 根据适合您情况使用下列方法, 之一。
方法 1: 禁用内核缓存模式
可禁用缓存整个系统, 内核模式或者您可以禁用内核模式对于特定 ASP.NET 应用程序缓存。 此方法解决首选方法是因为仍可使用输出缓存 ASP.NET 应用程序中。 要禁用内核缓存模式, 请按照下列步骤:
| 1. |
如果要禁用缓存整个系统, 内核模式打开 Machine.config 配置文件。 此文件位于以下文件夹中:
驱动器 : \WINDOWS\Microsoft .NET\Framework\ Version \CONFIG
注意 驱动器 是代表操作系统安装驱动器占位符。 版本 是一个占位符, 代表已安装 Microsoft.NET 框架的版本号。
如果要禁用缓存为特定 ASP.NET 应用程序, 内核模式打开 Web.config 配置文件。 此文件位于 ASP.NET 应用程序文件夹中。 |
| 2. |
在配置文件, 找到 < httpRuntime > 元素, 并然后添加以下属性:
enableKernelOutputCache = " false "
|
方法 2: 禁用特定 ASP.NET 页面中输出缓存
禁
用特定 ASP.NET 页面生成包含 Cookie 设置 - 响应一个 HTTP 头中输出缓存。 但是, 必须确定整个应用程序可能生成一个
Cookie 中每个 ASP.NET 页。 例如, 如果使用 Cookie 来维护会话状态, 用户访问任何页面可能生成一个 cookie。
要
禁用特定 ASP.NET 页面, 中输出缓存从任何 .aspx 文件, 您不想缓存删除 < % OutputCache % >
指令。 有关 < % OutputCache % > 指令在 ASP.NET 页, 请访问 Microsoft Developer
Network (MSDN) Web 站点:
http://msdn2.microsoft.com/en-us/library/zd1ysf1y(VS.80).aspx