複数のログインを防ぐ

Question

アプリケーションで同じユーザーによる複数のログインをブロックしようとしています。
私のアイデアは、ユーザーがサインインしたときにセキュリティスタンプを更新し、それをクレームとして追加し、次にすべてのリクエストでCookieからのスタンプをデータベース内のスタンプと比較することです。これは私がそれを実装した方法です：

 public virtual async Task<ActionResult> Login([Bind(Include = "Email,Password,RememberMe")] LoginViewModel model, string returnUrl) { if (!ModelState.IsValid) { return View(model); } SignInStatus result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, false); switch (result) { case SignInStatus.Success: var user = UserManager.FindByEmail(model.Email); var id = user.Id; UserManager.UpdateSecurityStamp(user.Id); var securityStamp = UserManager.FindByEmail(model.Email).SecurityStamp; UserManager.AddClaim(id, new Claim("SecurityStamp", securityStamp));

次に、認証設定に追加しました

 app.UseCookieAuthentication(new CookieAuthenticationOptions { AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie, LoginPath = new PathString("/Account/Login"), Provider = new CookieAuthenticationProvider { OnValidateIdentity = ctx => { var ret = Task.Run(() => { Claim claim = ctx.Identity.FindFirst("SecurityStamp"); if (claim != null) { var userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(new ApplicationDbContext())); var user = userManager.FindById(ctx.Identity.GetUserId()); // invalidate session, if SecurityStamp has changed if (user != null && user.SecurityStamp != null && user.SecurityStamp != claim.Value) { ctx.RejectIdentity(); } } }); return ret; } } });

それが示すように、私はCookieからのクレームをデータベース内のクレームと比較し、それらが同じでない場合はIDを拒否しようとしました。
今、ユーザーがセキュリティスタンプにサインインするたびに更新されますが、ユーザーのCookieの値が異なるため、理由を確認できません。新しい疑わしいセキュリティスタンプがユーザーのCookieに保存されないのではないかと疑っています。

trailmax · Accepted Answer

ソリューションは、実装を開始するよりもいくぶん簡単です。ただし、考え方は同じです。ユーザーがログインするたびに、セキュリティスタンプを変更します。そして、これは他のすべてのログインセッションを無効にします。したがって、ユーザーにパスワードを共有しないように教えます。

標準のVS2013テンプレートから新しいMVC5アプリケーションを作成し、やりたいことを実装することに成功しました。

ログイン方法。認証cookieを作成する前にセキュリティスタンプを変更する必要があります。cookieが設定された後は、値を簡単に更新できないためです。

_[HttpPost] [AllowAnonymous] [ValidateAntiForgeryToken] public async Task<ActionResult> Login(LoginViewModel model, string returnUrl) { if (!ModelState.IsValid) { return View(model); } // check if username/password pair match. var loggedinUser = await UserManager.FindAsync(model.Email, model.Password); if (loggedinUser != null) { // change the security stamp only on correct username/password await UserManager.UpdateSecurityStampAsync(loggedinUser.Id); } // do sign-in var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false); switch (result) { case SignInStatus.Success: return RedirectToLocal(returnUrl); case SignInStatus.LockedOut: return View("Lockout"); case SignInStatus.RequiresVerification: return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe }); case SignInStatus.Failure: default: ModelState.AddModelError("", "Invalid login attempt."); return View(model); } } _

このようにして、すべてのログインは新しいセキュリティスタンプでユーザーレコードを更新します。セキュリティスタンプの更新はawait UserManager.UpdateSecurityStampAsync(user.Id);の問題にすぎません-想像していたよりもはるかに簡単です。

次のステップは、すべてのリクエストでセキュリティスタンプを確認することです。 _Startup.Auth.cs_ですでに最適なフックインポイントを見つけましたが、再び複雑すぎました。フレームワークはすでにあなたがする必要があることをしています、あなたはそれを少し微調整する必要があります：

_app.UseCookieAuthentication(new CookieAuthenticationOptions { // other stuff AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie, LoginPath = new PathString("/Account/Login"), Provider = new CookieAuthenticationProvider { OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>( validateInterval: TimeSpan.FromMinutes(0), // <-- Note the timer is set for zero regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager)) } }); _

時間間隔はゼロに設定されます。つまり、すべてのリクエストのフレームワークがユーザーのセキュリティスタンプをデータベースと比較します。 Cookieのスタンプがデータベースのスタンプと一致しない場合、ユーザーのauth-cookieがスローされ、ログアウトするように求められます。

ただし、これにより、ユーザーからのすべてのHTTPリクエストでデータベースへの追加のリクエストが発生することに注意してください。大規模なユーザーベースでは、これは費用がかかる可能性があり、チェック間隔を数分に多少増やすことができます。これにより、DBへのリクエストが少なくなりますが、ログイン詳細を共有しないというメッセージは引き続き表示されます。

githubの完全なソース

ブログ投稿の詳細情報

Algis · Answer

過去に、IAuthorizationFilterと静的ログインユーザーコレクションを使用してこれを実現しました。

public static class WebAppData { public static ConcurrentDictionary<string, AppUser> Users = new ConcurrentDictionary<string, AppUser>(); } public class AuthorisationAttribute : FilterAttribute, IAuthorizationFilter { public void OnAuthorization(AuthorizationContext filterContext){ ... Handle claims authentication ... AppUser id = WebAppData.Users.Where(u=>u.Key ==userName).Select(u=>u.Value).FirstOrDefault(); if (id == null){ id = new AppUser {...} ; id.SessionId = filterContext.HttpContext.Session.SessionID; WebAppData.Users.TryAdd(userName, id); } else { if (id.SessionId != filterContext.HttpContext.Session.SessionID) { FormsAuthentication.SignOut(); ... return appropriate error response depending is it ajax request or not ... } } } }

ログアウト時：

WebAppData.Users.TryRemove(userName, out user)