问题描述 我在一个小网站上使用ASP.NET会员身份验证，我刚刚注意到在测试期间有趣的事情.我正在尝试启用用户随时更改他们的登录密码，我将更改密码控件拖到表单，我更改了我的测试帐户的密码，但现在所有密码仍在工作. 我可以使用旧密码以及使用此特定测试帐户的新密码登录.如果我尝试使用任何其他随机字符作为新密码，我无法成功登录(确定).但是，如果键入旧密码，则能够登录，如果我键入新密码，我仍然能够登录，我发现这很奇怪. 推荐答案 刷新

问题描述 是否有什么让我退缩，而仅执行整个会员资格，角色和个人资料自定义，而无需从Mexthipprovider等抽象类中继承，等等? ? MSDN明确指出:”实施自定义角色提供商时，您需要继承Roleprovider抽象类.” ( us/library/system.web.security.roleprovider.aspx ) 但是，当我在这里前进时，我发现我真的为我们的特定需求定制了整个过程，在许多

问题描述 使用基于触发器的审核日志方式，我正在录制对数据库中表所做的更改历史记录.我正在使用的方法(用静态SQL Server登录)来记录哪个用户所做的更改涉及在每个数据库连接的开始时运行存储过程.触发器在录制审核行时使用此用户名. (触发器由产品omniaudit提供.) 但是，ASP.NET隶属表主要通过成员API访问.当成员资格API打开其数据库连接时，我需要通过当前用户的身份.我尝试了Subcassing Membershi

问题描述 我有一个ASP .NET MVC网站，在本地测试时工作正常. 我在Windows Server 2008机器上将网站放到IIS 7上. 网站使用.NET成员资格提供程序，当我尝试登录时，我收到以下错误: Login failed for user ''. 这是成员连接字符串: data source=(local);Integrated Security=SSPI;Initial Catalog=db 该站点在IIS中运行

问题描述 我使用表单成员身份验证有ASP.NET Web应用程序.我们最近经过渗透测试，标记的问题是窃取用户帐户的能力.如果在登录用户之前从用户复制了.aspxauth cookie值.用户可以作为其他用户登录，编辑其cookie以匹配复制的值并获取所有特权. 在注销时我尝试过: 删除cookie.我可以成功执行此操作，但它不会使FormsAuthenticationTicket无效. 使用 formsauthentication

问题描述 是否有一个实用程序或代码示例可以使用旧密钥解密，然后使用asp.net隶属用户的新密钥加密密码? 推荐答案 没有提到的解决方法，为我工作. 我的解决方案在下面.它涉及在清晰的文本中第一次存储密码，然后用新的机器重新打入它们. 机器密钥更改 其他推荐答案 这是我在解决方案中最好的猜测，但我没有机会测试它.它依赖于当前提供程序的以下设置: enablePasswordRetrieval="true" requiresQue

问题描述 我的应用程序具有自定义角色和MemberHippRoviders.我已经在web.config中注册了它们，但是当我尝试做if(User.IsInRole(“Blah”))时，我在Roleprovider的Initialize或IsUserInRole中都没有打断.会员提供商正常工作，所以我想我从web.config那里错过了一些东西.这就是我所拥有的: <system.web>

问题描述 我已经为需要基本密码保护的客户设置了一个微不足道的预览网站.我正在使用表单身份验证以及web.config中指定的凭据. 所有工作正常我的盒子 (着名的最后一句话) 但是，当我部署到运行Win2008的生产网站时，身份验证代码尝试打开SQL Server数据库(我对web.config中的任何SQL都没有引用).如何禁用此行为，以便身份验证基于我在web.config中输入的凭据? 事件日志 中的例外 无法连接

问题描述 我想重新直接人们根据他们的角色登录.当我使用下面的代码时，调试时的角色将会空空 – 我怀疑他们还没有完全登录?我可能会分手进入错误的事件，有人可以指出我的正确方向? <asp:Login ID="LoginUser" OnLoggedIn="Login1_LoggedIn" runat="server" DestinationPageUrl="~/Login.aspx" EnableViewSta

问题描述 使用ASP.NET成员资格，如果我想获取当前用户的信息，我可以调用MembershipUser.GetUser() 所以，某种方式，系统必须知道当前用户的ID. 如果这是正确的，我想要的只是当前用户的ID，是否有一种方法可以得到它而不从数据库中返回所有用户信息? 我知道我可以使用User.Identity.Name获取当前用户的用户名，但我需要ID. 推荐答案 进一步调查，似乎毕竟ASP.NET隶属API不会跟踪用户ID