Token zabezpieczający przed fałszerstwem jest przeznaczony dla użytkownika „”, ale aktualnym użytkownikiem jest „nazwa użytkownika”

Question 1

Tworzę aplikację jednostronicową i mam problem z tokenami chroniącymi przed fałszerstwem.

Wiem, dlaczego tak się dzieje, ale nie wiem, jak go naprawić.

Pojawia się błąd, gdy dzieje się co następuje:

Niezalogowany użytkownik ładuje okno dialogowe (z wygenerowanym tokenem zabezpieczającym przed fałszerstwem)
Użytkownik zamyka okno dialogowe
Użytkownik loguje się
Użytkownik otwiera to samo okno dialogowe
Użytkownik przesyła formularz w oknie dialogowym

Token zabezpieczający przed fałszerstwem jest przeznaczony dla użytkownika „”, ale aktualnym użytkownikiem jest „nazwa użytkownika”

Powodem tego jest to, że moja aplikacja jest w 100% jednostronicowa, a kiedy użytkownik loguje się pomyślnie za pośrednictwem posta w AJAX /Account/JsonLogin, po prostu przełączam bieżące widoki z „widokami uwierzytelnionymi” zwróconymi z serwera, ale nie ładuję ponownie strona.

Wiem, że to jest powód, ponieważ jeśli po prostu przeładuję stronę między krokami 3 i 4, nie ma błędu.

Wygląda więc na to, że @Html.AntiForgeryToken()w załadowanej formie nadal zwraca token dla starego użytkownika, dopóki strona nie zostanie ponownie załadowana.

Jak mogę zmienić, @Html.AntiForgeryToken()aby zwrócić token dla nowego, uwierzytelnionego użytkownika?

Wstrzykuję nowy GenericalPrincipalz niestandardowym IIdentityna co Application_AuthenticateRequesttak, zanim @Html.AntiForgeryToken()zostanie wywołany HttpContext.Current.User.Identity, w rzeczywistości moja niestandardowa tożsamość z IsAuthenticatedwłaściwością ustawioną na true, a mimo to @Html.AntiForgeryTokennadal wydaje się renderować token dla starego użytkownika, chyba że wykonam ponowne załadowanie strony.

Question 2

Dzieje się tak, ponieważ token chroniący przed fałszerstwem osadza nazwę użytkownika jako część zaszyfrowanego tokenu w celu lepszej weryfikacji. Przy pierwszym wywołaniu @Html.AntiForgeryToken()użytkownik nie jest zalogowany, więc token będzie miał pusty ciąg dla nazwy użytkownika, po zalogowaniu się użytkownika, jeśli nie zmienisz tokena przeciw fałszerstwu, nie przejdzie weryfikacji, ponieważ token początkowy był dla anonimowy użytkownik, a teraz mamy uwierzytelnionego użytkownika o znanej nazwie użytkownika.

Masz kilka możliwości rozwiązania tego problemu:

Tylko tym razem pozwól swojemu SPA wykonać pełny POST, a po ponownym załadowaniu strony będzie miał token zapobiegający fałszerstwom z osadzoną zaktualizowaną nazwą użytkownika.
Miej częściowy widok z samym @Html.AntiForgeryToken()i zaraz po zalogowaniu, wykonaj kolejne żądanie AJAX i zastąp istniejący token zabezpieczający przed fałszerstwem odpowiedzią na żądanie.
Po prostu wyłącz sprawdzanie tożsamości, które przeprowadza weryfikacja przed fałszerstwem. Dodaj następującą do Application_Start metody: AntiForgeryConfig.SuppressIdentityHeuristicChecks = true.

Question 3

Aby naprawić błąd, musisz umieścić OutputCacheadnotację danych na stronie pobierania ActionResultlogowania jako:

[OutputCache(NoStore=true, Duration = 0, VaryByParam= "None")] 
public ActionResult Login(string returnUrl)

Question 4

Z moją aplikacją zdarza się to wiele razy, więc zdecydowałem się poszukać w Google!

Znalazłem proste wyjaśnienie tego błędu! Użytkownik dwukrotnie klika przycisk logowania! Możesz zobaczyć, jak inny użytkownik mówi o tym pod poniższym linkiem:

MVC 4 podał, że token zabezpieczający przed fałszerstwem był przeznaczony dla użytkownika „”, ale bieżący użytkownik to „użytkownik”

Mam nadzieję, że to pomoże! =)

Question 5

Komunikat pojawia się po zalogowaniu, gdy jesteś już uwierzytelniony.

Ten pomocnik robi dokładnie to samo, co [ValidateAntiForgeryToken]atrybut.

System.Web.Helpers.AntiForgery.Validate()

Usuń [ValidateAntiForgeryToken]atrybut z kontrolera i umieść tego pomocnika w metodzie działania.

Jeśli więc użytkownik jest już uwierzytelniony, przekieruj na stronę główną, a jeśli nie, kontynuuj weryfikację ważnego tokena chroniącego przed fałszerstwem po tej weryfikacji.

if (User.Identity.IsAuthenticated)
{
    return RedirectToAction("Index", "Home");
}

System.Web.Helpers.AntiForgery.Validate();

Aby spróbować odtworzyć błąd, wykonaj następujące czynności: Jeśli jesteś na swojej stronie logowania i nie jesteś uwierzytelniony. Jeśli zduplikujesz kartę i zalogujesz się na drugiej karcie. A jeśli wrócisz do pierwszej zakładki na stronie logowania i spróbujesz się zalogować bez przeładowywania strony ... masz ten błąd.

Question 6

Miałem ten sam problem i ten brudny hack go naprawił, przynajmniej do czasu, gdy mogę to naprawić w czystszy sposób.

    public ActionResult Login(string returnUrl)
    {
        if (AuthenticationManager.User.Identity.IsAuthenticated)
        {
            AuthenticationManager.SignOut();
            return RedirectToAction("Login");
        }

...

Question 7

Mam ten sam wyjątek, który występuje przez większość czasu na serwerze produkcyjnym.

Dlaczego tak się dzieje?

Dzieje się tak, gdy użytkownik loguje się z ważnymi poświadczeniami i po zalogowaniu się i przekierowaniu na inną stronę, a po naciśnięciu przycisku Wstecz wyświetli stronę logowania i ponownie wprowadzi prawidłowe poświadczenia, kiedy wystąpi ten wyjątek.

Jak rozwiązać?

Po prostu dodaj tę linię i działaj idealnie, bez błędu.

[OutputCache(NoStore = true, Duration = 0, VaryByParam = "None")]

Question 8

Miałem dość specyficzny, ale podobny problem w procesie rejestracji. Po kliknięciu przez użytkownika odsyłacza e-mail wysłanego do niego zostanie zalogowany i wysłany bezpośrednio do ekranu szczegółów konta, aby podać więcej informacji. Mój kod to:

    Dim result = Await UserManager.ConfirmEmailAsync(userId, code)
    If result.Succeeded Then
        Dim appUser = Await UserManager.FindByIdAsync(userId)
        If appUser IsNot Nothing Then
            Dim signInStatus = Await SignInManager.PasswordSignInAsync(appUser.Email, password, True, shouldLockout:=False)
            If signInStatus = SignInStatus.Success Then
                Dim identity = Await UserManager.CreateIdentityAsync(appUser, DefaultAuthenticationTypes.ApplicationCookie)
                AuthenticationManager.SignIn(New AuthenticationProperties With {.IsPersistent = True}, identity)
                Return View("AccountDetails")
            End If
        End If
    End If

Okazało się, że widok zwrotu („AccountDetails”) dawał mi wyjątek dotyczący tokena, zgaduję, ponieważ funkcja ConfirmEmail została ozdobiona wartością AllowAnonymous, ale funkcja AccountDetails miała ValidateAntiForgeryToken.

Zmiana opcji Return to Return RedirectToAction („AccountDetails”) rozwiązała problem za mnie.

Question 9

[OutputCache(NoStore=true, Duration=0, VaryByParam="None")]

public ActionResult Login(string returnUrl)

Możesz to sprawdzić, umieszczając punkt przerwania w pierwszym wierszu akcji Zaloguj (Pobierz). Przed dodaniem dyrektywy OutputCache punkt przerwania zostałby osiągnięty przy pierwszym załadowaniu, ale po kliknięciu przycisku wstecz przeglądarki nie. Po dodaniu dyrektywy powinieneś zakończyć za każdym razem trafienie w punkt przerwania, więc AntiForgeryToken będzie tym poprawnym, a nie pustym.

Question 10

Miałem ten sam problem z jednostronicową aplikacją ASP.NET MVC Core. Rozwiązałem to, ustawiając HttpContext.Userwe wszystkich akcjach kontrolera, które zmieniają bieżące oświadczenia o tożsamości (ponieważ MVC robi to tylko dla kolejnych żądań, jak omówiono tutaj ). Użyłem filtru wyników zamiast oprogramowania pośredniego, aby dołączyć pliki cookie zapobiegające fałszerstwom do moich odpowiedzi, co upewniło się, że zostały wygenerowane dopiero po powrocie akcji MVC.

Kontroler (NB. Zarządzam użytkownikami za pomocą ASP.NET Core Identity):

[Authorize]
[ValidateAntiForgeryToken]
public class AccountController : Controller
{
    private SignInManager<IdentityUser> signInManager;
    private UserManager<IdentityUser> userManager;
    private IUserClaimsPrincipalFactory<IdentityUser> userClaimsPrincipalFactory;

    public AccountController(SignInManager<IdentityUser> signInManager, UserManager<IdentityUser> userManager, IUserClaimsPrincipalFactory<ApplicationUser> userClaimsPrincipalFactory)
    {
        this.signInManager = signInManager;
        this.userManager = userManager;
        this.userClaimsPrincipalFactory = userClaimsPrincipalFactory;
    }

    [HttpPost]
    [AllowAnonymous]
    public async Task<IActionResult> Login(string username, string password)
    {
        if (username == null || password == null)
        {
            return BadRequest(); // Alias of 400 response
        }

        var result = await signInManager.PasswordSignInAsync(username, password, false, lockoutOnFailure: false);
        if (result.Succeeded)
        {
            var user = await userManager.FindByNameAsync(username);

            // Must manually set the HttpContext user claims to those of the logged
            // in user. Otherwise MVC will still include a XSRF token for the "null"
            // user and token validation will fail. (MVC appends the correct token for
            // all subsequent reponses but this isn't good enough for a single page
            // app.)
            var principal = await userClaimsPrincipalFactory.CreateAsync(user);
            HttpContext.User = principal;

            return Json(new { username = user.UserName });
        }
        else
        {
            return Unauthorized();
        }
    }

    [HttpPost]
    public async Task<IActionResult> Logout()
    {
        await signInManager.SignOutAsync();

        // Removing identity claims manually from the HttpContext (same reason
        // as why we add them manually in the "login" action).
        HttpContext.User = null;

        return Json(new { result = "success" });
    }
}

Filtr wyników umożliwiający dołączenie plików cookie zapobiegających fałszerstwom:

public class XSRFCookieFilter : IResultFilter
{
    IAntiforgery antiforgery;

    public XSRFCookieFilter(IAntiforgery antiforgery)
    {
        this.antiforgery = antiforgery;
    }

    public void OnResultExecuting(ResultExecutingContext context)
    {
        var HttpContext = context.HttpContext;
        AntiforgeryTokenSet tokenSet = antiforgery.GetAndStoreTokens(context.HttpContext);
        HttpContext.Response.Cookies.Append(
            "MyXSRFFieldTokenCookieName",
            tokenSet.RequestToken,
            new CookieOptions() {
                // Cookie needs to be accessible to Javascript so we
                // can append it to request headers in the browser
                HttpOnly = false
            } 
        );
    }

    public void OnResultExecuted(ResultExecutedContext context)
    {

    }
}

Ekstrakt Startup.cs:

public partial class Startup
{
    public Startup(IHostingEnvironment env)
    {
        //...
    }

    public IConfigurationRoot Configuration { get; }

    public void ConfigureServices(IServiceCollection services)
    {

        //...

        services.AddAntiforgery(options =>
        {
            options.HeaderName = "MyXSRFFieldTokenHeaderName";
        });


        services.AddMvc(options =>
        {
            options.Filters.Add(typeof(XSRFCookieFilter));
        });

        services.AddScoped<XSRFCookieFilter>();

        //...
    }

    public void Configure(
        IApplicationBuilder app,
        IHostingEnvironment env,
        ILoggerFactory loggerFactory)
    {
        //...
    }
}

Question 11

Ma problem z walidacją anty-fałszerstwa w sklepie internetowym: użytkownicy otwierają wiele zakładek (z towarem) i po zalogowaniu się na jednej próbują zalogować się na innym i dostaje taki AntiForgeryException. Więc AntiForgeryConfig.SuppressIdentityHeuristicChecks = true mi nie pomogło, więc użyłem takiego brzydkiego hackfixa, może komuś się przyda:

   public class ExceptionPublisherExceptionFilter : IExceptionFilter
{
    public void OnException(ExceptionContext exceptionContext)
    {
        var exception = exceptionContext.Exception;

        var request = HttpContext.Current.Request;
        if (request != null)
        {
            if (exception is HttpAntiForgeryException &&
                exception.Message.ToLower().StartsWith("the provided anti-forgery token was meant for user \"\", but the current user is"))
            {
                var isAjaxCall = string.Equals("XMLHttpRequest", request.Headers["x-requested-with"], StringComparison.OrdinalIgnoreCase);
                var returnUrl = !string.IsNullOrWhiteSpace(request["returnUrl"]) ? request["returnUrl"] : "/";
                var response = HttpContext.Current.Response;

                if (isAjaxCall)
                {
                    response.Clear();
                    response.StatusCode = 200;
                    response.ContentType = "application/json; charset=utf-8";
                    response.Write(JsonConvert.SerializeObject(new { success = 1, returnUrl = returnUrl }));
                    response.End();
                }
                else
                {
                    response.StatusCode = 200;
                    response.Redirect(returnUrl);
                }
            }
        }


        ExceptionHandler.HandleException(exception);
    }
}

public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        filters.Add(new ExceptionPublisherExceptionFilter());
        filters.Add(new HandleErrorAttribute());
    }
}

Pomyśl, że będzie wspaniale, jeśli można ustawić opcje generowania tokenów przed fałszerstwem, aby wykluczyć nazwę użytkownika lub coś w tym rodzaju.

Answer 1

Tworzę aplikację jednostronicową i mam problem z tokenami chroniącymi przed fałszerstwem.

Wiem, dlaczego tak się dzieje, ale nie wiem, jak go naprawić.

Pojawia się błąd, gdy dzieje się co następuje:

Niezalogowany użytkownik ładuje okno dialogowe (z wygenerowanym tokenem zabezpieczającym przed fałszerstwem)
Użytkownik zamyka okno dialogowe
Użytkownik loguje się
Użytkownik otwiera to samo okno dialogowe
Użytkownik przesyła formularz w oknie dialogowym

Token zabezpieczający przed fałszerstwem jest przeznaczony dla użytkownika „”, ale aktualnym użytkownikiem jest „nazwa użytkownika”

Powodem tego jest to, że moja aplikacja jest w 100% jednostronicowa, a kiedy użytkownik loguje się pomyślnie za pośrednictwem posta w AJAX /Account/JsonLogin, po prostu przełączam bieżące widoki z „widokami uwierzytelnionymi” zwróconymi z serwera, ale nie ładuję ponownie strona.

Wiem, że to jest powód, ponieważ jeśli po prostu przeładuję stronę między krokami 3 i 4, nie ma błędu.

Wygląda więc na to, że @Html.AntiForgeryToken()w załadowanej formie nadal zwraca token dla starego użytkownika, dopóki strona nie zostanie ponownie załadowana.

Jak mogę zmienić, @Html.AntiForgeryToken()aby zwrócić token dla nowego, uwierzytelnionego użytkownika?

Wstrzykuję nowy GenericalPrincipalz niestandardowym IIdentityna co Application_AuthenticateRequesttak, zanim @Html.AntiForgeryToken()zostanie wywołany HttpContext.Current.User.Identity, w rzeczywistości moja niestandardowa tożsamość z IsAuthenticatedwłaściwością ustawioną na true, a mimo to @Html.AntiForgeryTokennadal wydaje się renderować token dla starego użytkownika, chyba że wykonam ponowne załadowanie strony.

Answer 2

Czy rzeczywiście możesz sprawdzić, czy kod @ Html.AntiForgeryToken jest wywoływany bez ponownego ładowania?

Kyle C

Answer 3

Zdecydowanie tak, mogę udać się tam, aby sprawdzić HttpContext.Current. Obiekt użytkownika, jak wspomniałem

parlament

Answer 4

2

Proszę odnieść się do tego: stackoverflow.com/a/19471680/193634

Rosdi Kasim

Answer 5

@parliament czy mógłbyś powiedzieć, na którą opcję wybrałeś w odpowiedzi poniżej.

Siddharth Pandey

Answer 6

Myślę, że zrobiłem wyjątek, aby przejść z pełnym przeładowaniem, jeśli dobrze pamiętam. Ale spodziewam się, że wkrótce napotkam ten problem w nowym projekcie. Opublikuję ponownie, jeśli wybiorę lepszą opcję pracy.

parlament

Answer 7

170

Dzieje się tak, ponieważ token chroniący przed fałszerstwem osadza nazwę użytkownika jako część zaszyfrowanego tokenu w celu lepszej weryfikacji. Przy pierwszym wywołaniu @Html.AntiForgeryToken()użytkownik nie jest zalogowany, więc token będzie miał pusty ciąg dla nazwy użytkownika, po zalogowaniu się użytkownika, jeśli nie zmienisz tokena przeciw fałszerstwu, nie przejdzie weryfikacji, ponieważ token początkowy był dla anonimowy użytkownik, a teraz mamy uwierzytelnionego użytkownika o znanej nazwie użytkownika.

Masz kilka możliwości rozwiązania tego problemu:

Tylko tym razem pozwól swojemu SPA wykonać pełny POST, a po ponownym załadowaniu strony będzie miał token zapobiegający fałszerstwom z osadzoną zaktualizowaną nazwą użytkownika.
Miej częściowy widok z samym @Html.AntiForgeryToken()i zaraz po zalogowaniu, wykonaj kolejne żądanie AJAX i zastąp istniejący token zabezpieczający przed fałszerstwem odpowiedzią na żądanie.
Po prostu wyłącz sprawdzanie tożsamości, które przeprowadza weryfikacja przed fałszerstwem. Dodaj następującą do Application_Start metody: AntiForgeryConfig.SuppressIdentityHeuristicChecks = true.

epignosisx
źródło

21

@parliament: zaakceptowałeś tę odpowiedź, czy mógłbyś podzielić się z nami wybraną opcją?

R. Schreurs

9

+1 za przyjemną i prostą opcję 3. Czasowe wylogowanie przez dostawców OAuth również powoduje ten problem.

Gone Coding

18

Opcja 3 nie zadziałała dla mnie. Po wylogowaniu otworzyłem dwa okna na stronie logowania. Zalogowano się jako jeden użytkownik w jednym oknie, a następnie zalogowałem się jako inny użytkownik w drugim i otrzymałem ten sam błąd.

McGaz

5

Niestety nie mogłem znaleźć dobrego rozwiązania tego problemu. Usunąłem token ze strony logowania. Nadal zamieszczam to w postach po zalogowaniu.

McGaz

8

Opcja 3 też nie zadziałała. Nadal pojawia się ten sam błąd.

Joao Leme

Answer 8

21

@parliament: zaakceptowałeś tę odpowiedź, czy mógłbyś podzielić się z nami wybraną opcją?

R. Schreurs

Answer 9

9

+1 za przyjemną i prostą opcję 3. Czasowe wylogowanie przez dostawców OAuth również powoduje ten problem.

Gone Coding

Answer 10

18

Opcja 3 nie zadziałała dla mnie. Po wylogowaniu otworzyłem dwa okna na stronie logowania. Zalogowano się jako jeden użytkownik w jednym oknie, a następnie zalogowałem się jako inny użytkownik w drugim i otrzymałem ten sam błąd.

McGaz

Answer 11

5

Niestety nie mogłem znaleźć dobrego rozwiązania tego problemu. Usunąłem token ze strony logowania. Nadal zamieszczam to w postach po zalogowaniu.

McGaz

Answer 12

8

Opcja 3 też nie zadziałała. Nadal pojawia się ten sam błąd.

Joao Leme

Answer 13

26

Aby naprawić błąd, musisz umieścić OutputCacheadnotację danych na stronie pobierania ActionResultlogowania jako:

[OutputCache(NoStore=true, Duration = 0, VaryByParam= "None")] 
public ActionResult Login(string returnUrl)

user3401354
źródło

3

To rozwiązało problem dla mnie, ma sens. Dzięki!

Prime03

Mój przypadek użycia polegał na tym, że użytkownik próbował się zalogować i został wyświetlony błąd, np. „Konto wyłączone” za pośrednictwem ModelState.AddError (). Następnie, gdyby ponownie kliknęli przycisk logowania, zobaczyliby ten błąd. Jednak ta poprawka po prostu dała im ponownie pusty widok nowego logowania zamiast błędu tokena zapobiegającego fałszerstwom. Więc nie naprawiam.

yourpublicdisplayname

Mój przypadek: 1. Logowanie użytkownika () i lądowanie na stronie głównej. 2. Użytkownik naciska przycisk wstecz i wraca do widoku logowania. 3. Zaloguj się ponownie i zobacz błąd „Token ochrony przed fałszerstwem jest przeznaczony dla użytkownika” ”, ale bieżącym użytkownikiem jest„ nazwa użytkownika ”„ Na stronie błędu Jeśli użytkownik kliknie jakąkolwiek inną zakładkę z menu, aplikacja działała zgodnie z oczekiwaniami . Korzystając z powyższego kodu, użytkownik może nadal nacisnąć przycisk Wstecz, ale zostaje przekierowany na stronę główną. Bez względu na to, ile razy użytkownik kliknie przycisk Wstecz, przekieruje go na stronę główną. Dziękuję

Ravi

Jakieś pomysły, dlaczego to nie działa w widoku sieci Web platformy Xamarin?

Noobie3001

1

Aby uzyskać pełne wyjaśnienie, zobacz poprawę wydajności dzięki buforowaniu danych wyjściowych

stomy

Answer 14

3

To rozwiązało problem dla mnie, ma sens. Dzięki!

Prime03

Answer 15

Mój przypadek użycia polegał na tym, że użytkownik próbował się zalogować i został wyświetlony błąd, np. „Konto wyłączone” za pośrednictwem ModelState.AddError (). Następnie, gdyby ponownie kliknęli przycisk logowania, zobaczyliby ten błąd. Jednak ta poprawka po prostu dała im ponownie pusty widok nowego logowania zamiast błędu tokena zapobiegającego fałszerstwom. Więc nie naprawiam.

yourpublicdisplayname

Answer 16

Mój przypadek: 1. Logowanie użytkownika () i lądowanie na stronie głównej. 2. Użytkownik naciska przycisk wstecz i wraca do widoku logowania. 3. Zaloguj się ponownie i zobacz błąd „Token ochrony przed fałszerstwem jest przeznaczony dla użytkownika” ”, ale bieżącym użytkownikiem jest„ nazwa użytkownika ”„ Na stronie błędu Jeśli użytkownik kliknie jakąkolwiek inną zakładkę z menu, aplikacja działała zgodnie z oczekiwaniami . Korzystając z powyższego kodu, użytkownik może nadal nacisnąć przycisk Wstecz, ale zostaje przekierowany na stronę główną. Bez względu na to, ile razy użytkownik kliknie przycisk Wstecz, przekieruje go na stronę główną. Dziękuję

Ravi

Answer 17

Jakieś pomysły, dlaczego to nie działa w widoku sieci Web platformy Xamarin?

Noobie3001

Answer 18

1

Aby uzyskać pełne wyjaśnienie, zobacz poprawę wydajności dzięki buforowaniu danych wyjściowych

stomy

Answer 19

Z moją aplikacją zdarza się to wiele razy, więc zdecydowałem się poszukać w Google!

Znalazłem proste wyjaśnienie tego błędu! Użytkownik dwukrotnie klika przycisk logowania! Możesz zobaczyć, jak inny użytkownik mówi o tym pod poniższym linkiem:

MVC 4 podał, że token zabezpieczający przed fałszerstwem był przeznaczony dla użytkownika „”, ale bieżący użytkownik to „użytkownik”

Mam nadzieję, że to pomoże! =)

Answer 20

To był mój problem. Dzięki!

Nanou Ponette

Answer 21

10

Komunikat pojawia się po zalogowaniu, gdy jesteś już uwierzytelniony.

Ten pomocnik robi dokładnie to samo, co [ValidateAntiForgeryToken]atrybut.

System.Web.Helpers.AntiForgery.Validate()

Usuń [ValidateAntiForgeryToken]atrybut z kontrolera i umieść tego pomocnika w metodzie działania.

Jeśli więc użytkownik jest już uwierzytelniony, przekieruj na stronę główną, a jeśli nie, kontynuuj weryfikację ważnego tokena chroniącego przed fałszerstwem po tej weryfikacji.

if (User.Identity.IsAuthenticated)
{
    return RedirectToAction("Index", "Home");
}

System.Web.Helpers.AntiForgery.Validate();

Aby spróbować odtworzyć błąd, wykonaj następujące czynności: Jeśli jesteś na swojej stronie logowania i nie jesteś uwierzytelniony. Jeśli zduplikujesz kartę i zalogujesz się na drugiej karcie. A jeśli wrócisz do pierwszej zakładki na stronie logowania i spróbujesz się zalogować bez przeładowywania strony ... masz ten błąd.

A. Morel
źródło

Doskonałe rozwiązanie! To rozwiązało mój problem po wypróbowaniu wielu innych sugestii, które nie działały. Po pierwsze, był to ból odtwarzający błąd, dopóki nie odkryłem, że może to być spowodowane tym, że dwie przeglądarki lub karty są otwarte z tą samą stroną, a użytkownik loguje się z jednej, a następnie loguje się z drugiej bez ponownego ładowania.

Nicki

Dzięki za to rozwiązanie. Dla mnie też zadziałał. Dodałem sprawdzenie, czy tożsamość jest taka sama jak nazwa użytkownika logowania, a jeśli tak, z radością kontynuuję próbę zalogowania użytkownika i wylogowania go, jeśli tak nie jest. Na przykład spróbuj {System.Web.Helpers.AntiForgery.Validate ();} catch (HttpAntiForgeryException) {if (! User.Identity.IsAuthenticated || string.Compare (User.Identity.Name, model.Username)! = 0) {// Tutaj logika wylogowania}}

Steve Owen

Wielkie dzięki! szczególnie pomocny był przewodnik, jak odtworzyć błąd!

Tim Gerhard

Answer 22

Doskonałe rozwiązanie! To rozwiązało mój problem po wypróbowaniu wielu innych sugestii, które nie działały. Po pierwsze, był to ból odtwarzający błąd, dopóki nie odkryłem, że może to być spowodowane tym, że dwie przeglądarki lub karty są otwarte z tą samą stroną, a użytkownik loguje się z jednej, a następnie loguje się z drugiej bez ponownego ładowania.

Nicki

Answer 23

Dzięki za to rozwiązanie. Dla mnie też zadziałał. Dodałem sprawdzenie, czy tożsamość jest taka sama jak nazwa użytkownika logowania, a jeśli tak, z radością kontynuuję próbę zalogowania użytkownika i wylogowania go, jeśli tak nie jest. Na przykład spróbuj {System.Web.Helpers.AntiForgery.Validate ();} catch (HttpAntiForgeryException) {if (! User.Identity.IsAuthenticated || string.Compare (User.Identity.Name, model.Username)! = 0) {// Tutaj logika wylogowania}}

Steve Owen

Answer 24

Wielkie dzięki! szczególnie pomocny był przewodnik, jak odtworzyć błąd!

Tim Gerhard

Answer 25

9

Miałem ten sam problem i ten brudny hack go naprawił, przynajmniej do czasu, gdy mogę to naprawić w czystszy sposób.

    public ActionResult Login(string returnUrl)
    {
        if (AuthenticationManager.User.Identity.IsAuthenticated)
        {
            AuthenticationManager.SignOut();
            return RedirectToAction("Login");
        }

...

mnemonika
źródło

2

Wygląda na to, że miałem ten sam problem. IMO to nie włamanie, to bardziej powszechna rzecz, którą wszyscy powinniśmy sprawdzać przy logowaniu. Jeśli użytkownik jest już zalogowany, po prostu wyloguj go i wyświetl stronę logowania. Naprawiłem mój problem, dziękuję.

Alexandre

Answer 26

2

Wygląda na to, że miałem ten sam problem. IMO to nie włamanie, to bardziej powszechna rzecz, którą wszyscy powinniśmy sprawdzać przy logowaniu. Jeśli użytkownik jest już zalogowany, po prostu wyloguj go i wyświetl stronę logowania. Naprawiłem mój problem, dziękuję.

Alexandre

Answer 27

Mam ten sam wyjątek, który występuje przez większość czasu na serwerze produkcyjnym.

Dlaczego tak się dzieje?

Dzieje się tak, gdy użytkownik loguje się z ważnymi poświadczeniami i po zalogowaniu się i przekierowaniu na inną stronę, a po naciśnięciu przycisku Wstecz wyświetli stronę logowania i ponownie wprowadzi prawidłowe poświadczenia, kiedy wystąpi ten wyjątek.

Jak rozwiązać?

Po prostu dodaj tę linię i działaj idealnie, bez błędu.

[OutputCache(NoStore = true, Duration = 0, VaryByParam = "None")]

Answer 28

Miałem dość specyficzny, ale podobny problem w procesie rejestracji. Po kliknięciu przez użytkownika odsyłacza e-mail wysłanego do niego zostanie zalogowany i wysłany bezpośrednio do ekranu szczegółów konta, aby podać więcej informacji. Mój kod to:

    Dim result = Await UserManager.ConfirmEmailAsync(userId, code)
    If result.Succeeded Then
        Dim appUser = Await UserManager.FindByIdAsync(userId)
        If appUser IsNot Nothing Then
            Dim signInStatus = Await SignInManager.PasswordSignInAsync(appUser.Email, password, True, shouldLockout:=False)
            If signInStatus = SignInStatus.Success Then
                Dim identity = Await UserManager.CreateIdentityAsync(appUser, DefaultAuthenticationTypes.ApplicationCookie)
                AuthenticationManager.SignIn(New AuthenticationProperties With {.IsPersistent = True}, identity)
                Return View("AccountDetails")
            End If
        End If
    End If

Okazało się, że widok zwrotu („AccountDetails”) dawał mi wyjątek dotyczący tokena, zgaduję, ponieważ funkcja ConfirmEmail została ozdobiona wartością AllowAnonymous, ale funkcja AccountDetails miała ValidateAntiForgeryToken.

Zmiana opcji Return to Return RedirectToAction („AccountDetails”) rozwiązała problem za mnie.

Answer 29

[OutputCache(NoStore=true, Duration=0, VaryByParam="None")]

public ActionResult Login(string returnUrl)

Możesz to sprawdzić, umieszczając punkt przerwania w pierwszym wierszu akcji Zaloguj (Pobierz). Przed dodaniem dyrektywy OutputCache punkt przerwania zostałby osiągnięty przy pierwszym załadowaniu, ale po kliknięciu przycisku wstecz przeglądarki nie. Po dodaniu dyrektywy powinieneś zakończyć za każdym razem trafienie w punkt przerwania, więc AntiForgeryToken będzie tym poprawnym, a nie pustym.

Answer 30

Miałem ten sam problem z jednostronicową aplikacją ASP.NET MVC Core. Rozwiązałem to, ustawiając HttpContext.Userwe wszystkich akcjach kontrolera, które zmieniają bieżące oświadczenia o tożsamości (ponieważ MVC robi to tylko dla kolejnych żądań, jak omówiono tutaj ). Użyłem filtru wyników zamiast oprogramowania pośredniego, aby dołączyć pliki cookie zapobiegające fałszerstwom do moich odpowiedzi, co upewniło się, że zostały wygenerowane dopiero po powrocie akcji MVC.

Kontroler (NB. Zarządzam użytkownikami za pomocą ASP.NET Core Identity):

[Authorize]
[ValidateAntiForgeryToken]
public class AccountController : Controller
{
    private SignInManager<IdentityUser> signInManager;
    private UserManager<IdentityUser> userManager;
    private IUserClaimsPrincipalFactory<IdentityUser> userClaimsPrincipalFactory;

    public AccountController(SignInManager<IdentityUser> signInManager, UserManager<IdentityUser> userManager, IUserClaimsPrincipalFactory<ApplicationUser> userClaimsPrincipalFactory)
    {
        this.signInManager = signInManager;
        this.userManager = userManager;
        this.userClaimsPrincipalFactory = userClaimsPrincipalFactory;
    }

    [HttpPost]
    [AllowAnonymous]
    public async Task<IActionResult> Login(string username, string password)
    {
        if (username == null || password == null)
        {
            return BadRequest(); // Alias of 400 response
        }

        var result = await signInManager.PasswordSignInAsync(username, password, false, lockoutOnFailure: false);
        if (result.Succeeded)
        {
            var user = await userManager.FindByNameAsync(username);

            // Must manually set the HttpContext user claims to those of the logged
            // in user. Otherwise MVC will still include a XSRF token for the "null"
            // user and token validation will fail. (MVC appends the correct token for
            // all subsequent reponses but this isn't good enough for a single page
            // app.)
            var principal = await userClaimsPrincipalFactory.CreateAsync(user);
            HttpContext.User = principal;

            return Json(new { username = user.UserName });
        }
        else
        {
            return Unauthorized();
        }
    }

    [HttpPost]
    public async Task<IActionResult> Logout()
    {
        await signInManager.SignOutAsync();

        // Removing identity claims manually from the HttpContext (same reason
        // as why we add them manually in the "login" action).
        HttpContext.User = null;

        return Json(new { result = "success" });
    }
}

Filtr wyników umożliwiający dołączenie plików cookie zapobiegających fałszerstwom:

public class XSRFCookieFilter : IResultFilter
{
    IAntiforgery antiforgery;

    public XSRFCookieFilter(IAntiforgery antiforgery)
    {
        this.antiforgery = antiforgery;
    }

    public void OnResultExecuting(ResultExecutingContext context)
    {
        var HttpContext = context.HttpContext;
        AntiforgeryTokenSet tokenSet = antiforgery.GetAndStoreTokens(context.HttpContext);
        HttpContext.Response.Cookies.Append(
            "MyXSRFFieldTokenCookieName",
            tokenSet.RequestToken,
            new CookieOptions() {
                // Cookie needs to be accessible to Javascript so we
                // can append it to request headers in the browser
                HttpOnly = false
            } 
        );
    }

    public void OnResultExecuted(ResultExecutedContext context)
    {

    }
}

Ekstrakt Startup.cs:

public partial class Startup
{
    public Startup(IHostingEnvironment env)
    {
        //...
    }

    public IConfigurationRoot Configuration { get; }

    public void ConfigureServices(IServiceCollection services)
    {

        //...

        services.AddAntiforgery(options =>
        {
            options.HeaderName = "MyXSRFFieldTokenHeaderName";
        });


        services.AddMvc(options =>
        {
            options.Filters.Add(typeof(XSRFCookieFilter));
        });

        services.AddScoped<XSRFCookieFilter>();

        //...
    }

    public void Configure(
        IApplicationBuilder app,
        IHostingEnvironment env,
        ILoggerFactory loggerFactory)
    {
        //...
    }
}

Answer 31

Ma problem z walidacją anty-fałszerstwa w sklepie internetowym: użytkownicy otwierają wiele zakładek (z towarem) i po zalogowaniu się na jednej próbują zalogować się na innym i dostaje taki AntiForgeryException. Więc AntiForgeryConfig.SuppressIdentityHeuristicChecks = true mi nie pomogło, więc użyłem takiego brzydkiego hackfixa, może komuś się przyda:

   public class ExceptionPublisherExceptionFilter : IExceptionFilter
{
    public void OnException(ExceptionContext exceptionContext)
    {
        var exception = exceptionContext.Exception;

        var request = HttpContext.Current.Request;
        if (request != null)
        {
            if (exception is HttpAntiForgeryException &&
                exception.Message.ToLower().StartsWith("the provided anti-forgery token was meant for user \"\", but the current user is"))
            {
                var isAjaxCall = string.Equals("XMLHttpRequest", request.Headers["x-requested-with"], StringComparison.OrdinalIgnoreCase);
                var returnUrl = !string.IsNullOrWhiteSpace(request["returnUrl"]) ? request["returnUrl"] : "/";
                var response = HttpContext.Current.Response;

                if (isAjaxCall)
                {
                    response.Clear();
                    response.StatusCode = 200;
                    response.ContentType = "application/json; charset=utf-8";
                    response.Write(JsonConvert.SerializeObject(new { success = 1, returnUrl = returnUrl }));
                    response.End();
                }
                else
                {
                    response.StatusCode = 200;
                    response.Redirect(returnUrl);
                }
            }
        }


        ExceptionHandler.HandleException(exception);
    }
}

public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        filters.Add(new ExceptionPublisherExceptionFilter());
        filters.Add(new HandleErrorAttribute());
    }
}

Pomyśl, że będzie wspaniale, jeśli można ustawić opcje generowania tokenów przed fałszerstwem, aby wykluczyć nazwę użytkownika lub coś w tym rodzaju.

Answer 32

12

To straszny przykład rozwiązania problemu w pytaniu. Nie używaj tego.

xxbbcc,

Answer 33

Całkowicie zgadzam się z xxbbcc.

Javier

Answer 34

OK, przypadek użycia: formularz logowania z tokenem chroniącym przed fałszerstwem. Otwórz go w 2 kartach przeglądarki. Zaloguj się najpierw. Ty cant odświeżyć drugą zakładkę. Jakie rozwiązanie sugerujesz, aby zachować poprawne zachowanie dla użytkownika próbującego zalogować się z drugiej zakładki?

user3364244

Answer 35

@ user3364244: poprawne zachowanie to: wykrycie zewnętrznego logowania przy użyciu websockets lub signalR. To jest ta sama sesja, więc myślę, że możesz sprawić, że zadziała :-)

dampee

Token zabezpieczający przed fałszerstwem jest przeznaczony dla użytkownika „”, ale aktualnym użytkownikiem jest „nazwa użytkownika”

Odpowiedzi: