已登录用户的密码过期策略

Question

我想使用密码过期策略。对于想要登录网站的用户，我们可以检查登录控制的身份验证事件的密码。但是那些已经登录并且不会被登录页面缓存的用户呢？ In this question，建议处理HttpApplication.PostAuthenticateRequest这个事件不是一个好方法。

我正在考虑处理session_start()事件。对于每个用户都会触发一次，我们可以检查用户密码是否是最新的。但是我不知道一个已经登录的用户是否会在这个事件触发后的几天内访问这个网站？

Answer 1

是否确定只是因为密码已过期而忘记用户？登录cookie过期和密码过期是不同的问题。

我没有看到任何错误的维护登录cookie，直到它自己到期，然后强制用户在下次登录时更改他/她的密码。只要确保您不会在过期时间过久的情况下发布cookie，并且您的用户迟早都要重新登录。这是你可能会遇到密码过期的地方。

请注意，检查每个请求的过期时间（无论PostAuthenticate还是PreHandlerExecute无关紧要）都可能是不可能的。如果您的网站依赖外部身份验证源，则您无法前往该网站并检查密码过期。想象一下，询问Google或Facebook（如果您的用户在那里验证）密码是否过期。这是不容易的（或根本不可能）。