当您使用无Cookie会话并且无法将login.aspx的名称更改为httphandler时,如何解决无限登录循环问题?
即当具有管理员权限的用户点击注销按钮并且将受限页面的返回URL传递给login.aspx时,则没有管理员权限的另一个用户尝试登录它们将被重定向回登录页面.
我遇到过这个solution,但我无法将login.aspx的名称更改为http处理程序,并且isauthenticated函数似乎无法在带有cookieless auth的aspx页面中工作,因为表单auth票证似乎从URL中被删除重定向回登录页面时.
编辑:
解决方法
登录login.aspx页面后,检查用户是否有权访问returnUrl中的页面.您可以使用UrlAuthorizationModule的这种方法(如果它最适合您,则使用自定义方法):
System.Web.Security.UrlAuthorizationModule.CheckUrlAccessForPrincipal(
returnUrl,userPrincipal,GET");
var roles = System.Web.Security.Roles.GetRolesForUser(username); var principal = new System.Security.Principal.GenericPrincipal( new System.Security.Principal.GenericIdentity(username),roles );
