অ্যান্টি ফোরজি টোকেন ব্যবহারকারী "" এর জন্য বোঝানো হয়েছে তবে বর্তমান ব্যবহারকারী "ব্যবহারকারী নাম"

আমি একটি একক পৃষ্ঠার অ্যাপ্লিকেশন তৈরি করছি এবং জালিয়াতি বিরোধী টোকেন নিয়ে একটি সমস্যা অনুভব করছি।

আমি জানি কেন সমস্যাটি হয় আমি ঠিক কীভাবে এটি ঠিক করতে জানি না।

নিম্নলিখিতটি ঘটে গেলে আমি ত্রুটিটি পেয়েছি:

1. লগ-ইন না করা ব্যবহারকারী একটি ডায়ালগ লোড করে (একটি উত্পন্ন এন্টি-ফোরজি টোকেন সহ)
2. ব্যবহারকারী ডায়লগ বন্ধ করে দেয়
3. ব্যবহারকারী লগ ইন
4. ব্যবহারকারী একই ডায়ালগ খোলে
5. ব্যবহারকারী কথোপকথনে ফর্ম জমা দেয়

অ্যান্টি ফোরজি টোকেন ব্যবহারকারী "" এর জন্য বোঝানো হয়েছে তবে বর্তমান ব্যবহারকারী "ব্যবহারকারী নাম"

এর কারণটি হ'ল কারণ আমার অ্যাপ্লিকেশনটি 100% একক পৃষ্ঠা, এবং যখন কোনও ব্যবহারকারী সাফল্যের সাথে একটি এজ্যাক্স পোস্টের মাধ্যমে লগ ইন করে /Account/JsonLogin, আমি কেবল সার্ভার থেকে ফিরে "প্রমাণীকরণিত ভিউ" দিয়ে বর্তমান দৃশ্যগুলি স্যুইচ আউট করি তবে পুনরায় লোড করি না পাতা।

আমি জানি এটি কারণ কারণ যদি আমি পৃষ্ঠাটি 3 থেকে 4 ধাপের মধ্যে পুনরায় লোড করি তবে কোনও ত্রুটি নেই।

সুতরাং মনে হচ্ছে @Html.AntiForgeryToken()লোড হওয়া ফর্মটিতে এখনও পৃষ্ঠাটি পুনরায় লোড না হওয়া অবধি পুরানো ব্যবহারকারীর জন্য একটি টোকেন প্রদান করে।

@Html.AntiForgeryToken()নতুন, অনুমোদনপ্রাপ্ত ব্যবহারকারীর জন্য টোকেন ফিরিয়ে দিতে আমি কীভাবে পরিবর্তন করতে পারি ?

আমি একটি নতুন উদ্বুদ্ধ GenericalPrincipalএকটি কাস্টম সঙ্গে IIdentityপ্রত্যেক উপর Application_AuthenticateRequestতাই সময় দ্বারা @Html.AntiForgeryToken()নামক পরার HttpContext.Current.User.Identityহয়, আসলে আমার কাস্টম পরিচয় IsAuthenticatedসত্যতে সম্পত্তি সেট এবং এখনো @Html.AntiForgeryTokenএখনও পুরানো ব্যবহারকারীর জন্য একটি টোকেন রেন্ডার করতে যদি না আমি একটি পৃষ্ঠায় রিলোড না বলে মনে হয়।

এটি হ'ল কারণ অ্যান্টি-ফোরজি টোকেন আরও কার্যকরকরণের জন্য এনক্রিপ্ট করা টোকেনের অংশ হিসাবে ব্যবহারকারীর নামটি এম্বেড করে। আপনি যখন প্রথম কল করবেন @Html.AntiForgeryToken()ব্যবহারকারী লগইন নেই তাই টোকেনটির ব্যবহারকারীর নামটির জন্য একটি ফাঁকা স্ট্রিং থাকবে, ব্যবহারকারী লগ ইন করার পরে, আপনি যদি অ্যান্টি-ফোরজি টোকেনটি প্রতিস্থাপন না করেন তবে এটি বৈধতা পাস করবে না কারণ প্রাথমিক টোকেনটি ছিল বেনামে ব্যবহারকারীর এবং এখন আমাদের পরিচিত ব্যবহারকারীর নাম সহ একটি প্রমাণীকৃত ব্যবহারকারী।

এই সমস্যাটি সমাধান করার জন্য আপনার কাছে কয়েকটি বিকল্প রয়েছে:

1. ঠিক এখনই আপনার এসপিএকে একটি সম্পূর্ণ পোস্ট করতে দিন এবং পৃষ্ঠাটি পুনরায় লোড হয়ে গেলে এটিতে এম্বেড করা ব্যবহারকারীর নাম সহ অ্যান্টি-ফোরজি টোকন থাকবে।

2. @Html.AntiForgeryToken()লগ ইন করার পরে ন্যায়বিচারের সাথে আংশিক দৃষ্টিভঙ্গি রাখুন , আরেকটি এজেএক্স অনুরোধ করুন এবং অনুরোধের প্রতিক্রিয়ার সাথে আপনার বিদ্যমান অ্যান্টি-ফোরজি টোকেনটি প্রতিস্থাপন করুন।

3. কেবল পরিচয় অক্ষম করুন জালিয়াতি বিরোধী বৈধতা সম্পাদন পরীক্ষা করে। আপনার টু নিম্নলিখিত যোগ Application_Start পদ্ধতি: AntiForgeryConfig.SuppressIdentityHeuristicChecks = true।

ত্রুটিটি ঠিক করতে আপনার লগইন পাতায় OutputCacheডেটা টীকাগুলি স্থাপন ActionResultকরা উচিত:

[OutputCache(NoStore=true, Duration = 0, VaryByParam= "None")] 
public ActionResult Login(string returnUrl)

এটি আমার অ্যাপ্লিকেশনটির সাথে অনেক সময় ঘটে তাই আমি গুগল করার সিদ্ধান্ত নিয়েছি!

আমি এই ত্রুটি সম্পর্কে একটি সহজ ব্যাখ্যা খুঁজে পেয়েছি! ব্যবহারকারী লগইনের জন্য ডাবল ক্লিক করছে! আপনি নীচের লিঙ্কে অন্য ব্যবহারকারী এটি সম্পর্কে কথা বলতে দেখতে পারেন:

এমভিসি 4 প্রদত্ত অ্যান্টি-ফোরজি টোকেন ব্যবহারকারীর জন্য বোঝানো হয়েছিল তবে বর্তমান ব্যবহারকারী "ব্যবহারকারী"

আমি আসা করি এটা সাহায্য করবে! =)

আমার একই সমস্যা ছিল, এবং এই নোংরা হ্যাকটি এটি ঠিক করে দেওয়া হয়েছে, কমপক্ষে যতক্ষণ না আমি এটিকে ক্লিনার উপায়ে ঠিক করতে পারি।

    public ActionResult Login(string returnUrl)
    {
        if (AuthenticationManager.User.Identity.IsAuthenticated)
        {
            AuthenticationManager.SignOut();
            return RedirectToAction("Login");
        }

...

আপনি ইতিমধ্যে প্রমাণীকরণ করার সময় লগইন করার সময় বার্তাটি উপস্থিত হয়।

এই সহায়কটি [ValidateAntiForgeryToken]বৈশিষ্ট্যের মতো একই জিনিসটি করে ।

System.Web.Helpers.AntiForgery.Validate()

[ValidateAntiForgeryToken]নিয়ামক থেকে বৈশিষ্ট্যটি সরান এবং অ্যাকশন মেথোডে এই সহায়কটি রাখুন।

সুতরাং যখন ব্যবহারকারী ইতিমধ্যে প্রমাণীকরণ করা হয়েছে, হোম পৃষ্ঠায় পুনর্নির্দেশ করুন বা এই যাচাইকরণের পরে বৈধ অ্যান্টি-ফোরজি টোকেন যাচাইকরণ অবিরত না রাখলে।

if (User.Identity.IsAuthenticated)
{
    return RedirectToAction("Index", "Home");
}

System.Web.Helpers.AntiForgery.Validate();

ত্রুটিটি পুনরুত্পাদন করার চেষ্টা করার জন্য, নিম্নলিখিত হিসাবে এগিয়ে যান: আপনি যদি আপনার লগইন পৃষ্ঠায় থাকেন এবং আপনি প্রমাণীকৃত না হন। আপনি যদি ট্যাবটির সদৃশ হন এবং আপনি দ্বিতীয় ট্যাবে লগইন করেন। এবং যদি আপনি লগইন পৃষ্ঠার প্রথম ট্যাবে ফিরে আসেন এবং পৃষ্ঠাটি পুনরায় লোড না করে আপনি লগ ইন করার চেষ্টা করেন ... আপনার এই ত্রুটি রয়েছে।

প্রোডাকশন সার্ভারে বেশিরভাগ সময় আমার একই ব্যতিক্রম ঘটে।

কেন এমন হয়?

এটি তখন ঘটে যখন ব্যবহারকারী বৈধ শংসাপত্রগুলির সাথে লগইন করে এবং একবার লগ ইন করে এবং অন্য পৃষ্ঠায় পুনঃনির্দেশিত করে, এবং তারা পিছনের বোতামটি চাপ দেওয়ার পরে লগইন পৃষ্ঠাটি প্রদর্শিত হবে এবং আবার তিনি বৈধ শংসাপত্রগুলি প্রবেশ করিয়েছিলেন যে এই ব্যতিক্রম ঘটবে।

কীভাবে সমাধান করব?

কেবল এই লাইনটি যুক্ত করুন এবং নিখুঁত কাজ করুন, কোনও ত্রুটি পাবেন না।

[OutputCache(NoStore = true, Duration = 0, VaryByParam = "None")]

আমার নিবন্ধকরণ প্রক্রিয়াটির মধ্যে বেশ সুনির্দিষ্ট হলেও একই ধরণের সমস্যা ছিল। একবার ব্যবহারকারী তাদের কাছে প্রেরিত ইমেল লিঙ্কটিতে ক্লিক করলে, তারা লগ ইন করে এবং আরও কিছু তথ্য পূরণ করার জন্য সরাসরি অ্যাকাউন্ট বিশদ স্ক্রিনে প্রেরণ করা হবে। আমার কোডটি ছিল:

    Dim result = Await UserManager.ConfirmEmailAsync(userId, code)
    If result.Succeeded Then
        Dim appUser = Await UserManager.FindByIdAsync(userId)
        If appUser IsNot Nothing Then
            Dim signInStatus = Await SignInManager.PasswordSignInAsync(appUser.Email, password, True, shouldLockout:=False)
            If signInStatus = SignInStatus.Success Then
                Dim identity = Await UserManager.CreateIdentityAsync(appUser, DefaultAuthenticationTypes.ApplicationCookie)
                AuthenticationManager.SignIn(New AuthenticationProperties With {.IsPersistent = True}, identity)
                Return View("AccountDetails")
            End If
        End If
    End If

আমি দেখতে পেলাম যে রিটার্ন ভিউ ("অ্যাকাউন্টডেটেলস") আমাকে টোকেন ব্যতিক্রম দিচ্ছে, আমি অনুমান করছি কারণ কনফার্মইমেল ফাংশনটি AllowAnonymous দিয়ে সজ্জিত ছিল তবে অ্যাকাউন্টডেটেল ফাংশনটিতে ValidateAntiForgeryToken ছিল।

রিটার্ন টু রিটার্ন রিডাইরেক্টটঅ্যাকশন ("অ্যাকাউন্টডেটেল") পরিবর্তন করা আমার জন্য সমস্যাটি সমাধান করেছে।

[OutputCache(NoStore=true, Duration=0, VaryByParam="None")]

public ActionResult Login(string returnUrl)

আপনি আপনার লগইন (পান) ক্রিয়াটির প্রথম লাইনে ব্রেক পয়েন্ট রেখে পরীক্ষা করতে পারেন। আউটপুট ক্যাশে নির্দেশ যুক্ত করার আগে ব্রেক্টপয়েন্টটি প্রথম লোডটিতে আঘাত হানা হত, তবে ব্রাউজারের পিছনে বোতামটি ক্লিক করার পরে তা হবে না। নির্দেশিকা যুক্ত করার পরে আপনার ব্রেকআপপয়েন্টটি প্রতিবার হিট হওয়ার সাথে শেষ হওয়া উচিত, সুতরাং অ্যান্টিফোর্জিটোকেন মূলটি হবে, খালিটি নয়।

আমার একক পৃষ্ঠার এএসপি.নেট এমভিসি কোর অ্যাপ্লিকেশন নিয়ে একই সমস্যা ছিল। আমি HttpContext.Userসমস্ত নিয়ন্ত্রণকারী ক্রিয়াকলাপ স্থাপন করে এটি সমাধান করেছি যা বর্তমান পরিচয় দাবিগুলি পরিবর্তন করে (যেহেতু এখানে আলোচনা করা হয়েছে এমভিসি কেবল পরবর্তী অনুরোধগুলির জন্য এটি করে )। আমি আমার প্রতিক্রিয়াগুলিতে অ্যান্টিফোর্জি কুকিগুলিকে যুক্ত করতে মিডলওয়্যারের পরিবর্তে ফলাফল ফিল্টার ব্যবহার করেছি, এটি নিশ্চিত করে যে তারা কেবলমাত্র এমভিসি ক্রিয়া ফিরে আসার পরে তৈরি হয়েছিল।

কন্ট্রোলার (এনবি। আমি এএসপি.নেট কোর আইডেন্টিটি দিয়ে ব্যবহারকারীদের পরিচালনা করছি):

[Authorize]
[ValidateAntiForgeryToken]
public class AccountController : Controller
{
    private SignInManager<IdentityUser> signInManager;
    private UserManager<IdentityUser> userManager;
    private IUserClaimsPrincipalFactory<IdentityUser> userClaimsPrincipalFactory;

    public AccountController(SignInManager<IdentityUser> signInManager, UserManager<IdentityUser> userManager, IUserClaimsPrincipalFactory<ApplicationUser> userClaimsPrincipalFactory)
    {
        this.signInManager = signInManager;
        this.userManager = userManager;
        this.userClaimsPrincipalFactory = userClaimsPrincipalFactory;
    }

    [HttpPost]
    [AllowAnonymous]
    public async Task<IActionResult> Login(string username, string password)
    {
        if (username == null || password == null)
        {
            return BadRequest(); // Alias of 400 response
        }

        var result = await signInManager.PasswordSignInAsync(username, password, false, lockoutOnFailure: false);
        if (result.Succeeded)
        {
            var user = await userManager.FindByNameAsync(username);

            // Must manually set the HttpContext user claims to those of the logged
            // in user. Otherwise MVC will still include a XSRF token for the "null"
            // user and token validation will fail. (MVC appends the correct token for
            // all subsequent reponses but this isn't good enough for a single page
            // app.)
            var principal = await userClaimsPrincipalFactory.CreateAsync(user);
            HttpContext.User = principal;

            return Json(new { username = user.UserName });
        }
        else
        {
            return Unauthorized();
        }
    }

    [HttpPost]
    public async Task<IActionResult> Logout()
    {
        await signInManager.SignOutAsync();

        // Removing identity claims manually from the HttpContext (same reason
        // as why we add them manually in the "login" action).
        HttpContext.User = null;

        return Json(new { result = "success" });
    }
}

অ্যান্টিফোর্জি কুকি সংযোজন ফিল্টার ফলাফল:

public class XSRFCookieFilter : IResultFilter
{
    IAntiforgery antiforgery;

    public XSRFCookieFilter(IAntiforgery antiforgery)
    {
        this.antiforgery = antiforgery;
    }

    public void OnResultExecuting(ResultExecutingContext context)
    {
        var HttpContext = context.HttpContext;
        AntiforgeryTokenSet tokenSet = antiforgery.GetAndStoreTokens(context.HttpContext);
        HttpContext.Response.Cookies.Append(
            "MyXSRFFieldTokenCookieName",
            tokenSet.RequestToken,
            new CookieOptions() {
                // Cookie needs to be accessible to Javascript so we
                // can append it to request headers in the browser
                HttpOnly = false
            } 
        );
    }

    public void OnResultExecuted(ResultExecutedContext context)
    {

    }
}

স্টার্টআপ.সি এক্সট্র্যাক্ট:

public partial class Startup
{
    public Startup(IHostingEnvironment env)
    {
        //...
    }

    public IConfigurationRoot Configuration { get; }

    public void ConfigureServices(IServiceCollection services)
    {

        //...

        services.AddAntiforgery(options =>
        {
            options.HeaderName = "MyXSRFFieldTokenHeaderName";
        });


        services.AddMvc(options =>
        {
            options.Filters.Add(typeof(XSRFCookieFilter));
        });

        services.AddScoped<XSRFCookieFilter>();

        //...
    }

    public void Configure(
        IApplicationBuilder app,
        IHostingEnvironment env,
        ILoggerFactory loggerFactory)
    {
        //...
    }
}

ইন্টারনেট-শপটিতে অ্যান্টি-ফোরজি-টোকেন বৈধতা নিয়ে সমস্যা আছে: ব্যবহারকারীরা অনেকগুলি ট্যাব (পণ্য সহ) খোলেন এবং একটিতে লগ ইন করার পরে অন্যটিতে লগ ইন করার চেষ্টা করে এবং এই জাতীয় অ্যান্টিফর্জিএক্সেপশন পেয়েছিলেন। সুতরাং, অ্যান্টিফর্গ্রি কনফিগ.সপ্রেসআইডেন্টিটি হিউরিস্টিক চেকস = সত্য আমার পক্ষে সাহায্য করেনি, তাই আমি এই ধরনের কুৎসিত হ্যাকফিক্স ব্যবহার করেছি, সম্ভবত এটি কারওর জন্য সহায়ক হবে:

   public class ExceptionPublisherExceptionFilter : IExceptionFilter
{
    public void OnException(ExceptionContext exceptionContext)
    {
        var exception = exceptionContext.Exception;

        var request = HttpContext.Current.Request;
        if (request != null)
        {
            if (exception is HttpAntiForgeryException &&
                exception.Message.ToLower().StartsWith("the provided anti-forgery token was meant for user \"\", but the current user is"))
            {
                var isAjaxCall = string.Equals("XMLHttpRequest", request.Headers["x-requested-with"], StringComparison.OrdinalIgnoreCase);
                var returnUrl = !string.IsNullOrWhiteSpace(request["returnUrl"]) ? request["returnUrl"] : "/";
                var response = HttpContext.Current.Response;

                if (isAjaxCall)
                {
                    response.Clear();
                    response.StatusCode = 200;
                    response.ContentType = "application/json; charset=utf-8";
                    response.Write(JsonConvert.SerializeObject(new { success = 1, returnUrl = returnUrl }));
                    response.End();
                }
                else
                {
                    response.StatusCode = 200;
                    response.Redirect(returnUrl);
                }
            }
        }


        ExceptionHandler.HandleException(exception);
    }
}

public class FilterConfig
{
    public static void RegisterGlobalFilters(GlobalFilterCollection filters)
    {
        filters.Add(new ExceptionPublisherExceptionFilter());
        filters.Add(new HandleErrorAttribute());
    }
}

মনে করুন, অ্যান্টি-জালিয়াতি-টোকেন প্রজন্মের বিকল্পগুলি সেট করা যেতে পারে, ব্যবহারকারীর নাম বা এর মতো কিছু বাদ দিতে।