Adhésion à ASP.NET: utilisateur sûr supprimer

Question

Je suis l'administrateur et je dois supprimer un utilisateur.

Si l'utilisateur est authentifié au moment où je le supprime, quelle est la meilleure stratégie pour forcer l'utilisateur supprimé à se déconnecter à la prochaine requête? Dois-je gérer cette opération dans l'événement Application_AuthenticateRequest? En d'autres termes, peut-il être une idée à vérifier dans l'événement AuthenticateRequest si l'utilisateur existe toujours et, dans le cas contraire, supprimer tous les cookies et rediriger vers la page d'ouverture de session?

Answer 1

Après quelques recherches et évaluation, enfin j'ai trouvé une stratégie pour gérer ce scénario, donc, dans Global.asax:

protected void Application_AuthenticateRequest() 
{ 
    var user = HttpContext.Current.User; 
    if (user != null) 
    { 
     if (Membership.GetUser(user.Identity.Name, true) == null) 
     { 
      CookieHelper.Clear(); 
      Response.RedirectToRoute("Login"); 
     } 
    } 
} 

Lorsque la demande est authentifiée, on vérifie que l'utilisateur existe toujours dans la système, sinon tous les cookies seront supprimés et la demande sera redirigée vers la page de connexion.

Answer 2

Si vous les supprimez, je suppose que leur prochaine requête sera très probablement erronée.

Même s'ils ont le cookie d'authentification, toute page qui vérifie la base de données par rapport à leur UserID lèverait évidemment une exception.

Vous pouvez très probablement simplement désactiver l'utilisateur au lieu de devoir les supprimer.