如何保持用户登录系统并仅在用户单击注销按钮后注销？

我正在使用 microsoft asp.net 身份的自定义实现，因为我有自定义表，这就是为什么我给出了所有方法的自定义实现IUserStore 和 IUserPasswordStore.

问题是当用户登录时，10 - 15 分钟后登录用户 会话过期，但我想要的是除非用户注销我想要 保持用户登录系统。

Code:

public partial class Startup
    {
        public void ConfigureAuth(IAppBuilder app)
        {
            app.CreatePerOwinContext(ApplicationDbContext.Create);
            app.CreatePerOwinContext<ApplicationUserManager>(ApplicationUserManager.Create);
            app.CreatePerOwinContext<ApplicationSignInManager>(ApplicationSignInManager.Create);
            app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
                LoginPath = new PathString("/Account/Login"),
                Provider = new CookieAuthenticationProvider
                {
                    OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
                        validateInterval: TimeSpan.FromMinutes(30),
                        regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
                }
            });            
            app.UseExternalSignInCookie(DefaultAuthenticationTypes.ExternalCookie);
            app.UseTwoFactorSignInCookie(DefaultAuthenticationTypes.TwoFactorCookie, TimeSpan.FromMinutes(5));
        }
    }

账户控制器：

[Authorize]
    public class AccountController : Controller
    {
        public AccountController()
            : this(new UserManager<UserModel>(new UserStore()))
        {
        }

        public AccountController(UserManager<UserModel> userManager)
        {
            UserManager = userManager;
        }
        public UserManager<UserModel> UserManager { get; private set; }

         [HttpPost]
        [AllowAnonymous]
        [ValidateAntiForgeryToken]
        public async Task<ActionResult> Login(string email, string password, bool rememberMe = false, string returnUrl = null)
        {
            if (ModelState.IsValid)
            {
                var user = UserManager.Find(email, password);

                if (user != null)
                {
                    await SignInAsync(user, rememberMe);
                    return RedirectToLocal(returnUrl);
                }
                else
                {
                    ModelState.AddModelError("", "Invalid username or password.");
                }
            }
            return View();
        }

        private async Task SignInAsync(UserModel user, bool isPersistent)
        {
            var identity = await UserManager.CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie);
            identity.AddClaim(new Claim("FullName", user.FirstName + " " + user.LastName));
            identity.AddClaim(new Claim("Email", user.Email));
            identity.AddClaim(new Claim("Role", user.Role));
            AuthenticationManager.SignIn(new AuthenticationProperties() { IsPersistent = isPersistent, ExpiresUtc = DateTime.UtcNow.AddDays(7) }, identity);
        }

 private IAuthenticationManager AuthenticationManager
        {
            get
            {
                return HttpContext.GetOwinContext().Authentication;
            }
        }
    }

网页配置：

<system.web>
    <authentication mode="None" />
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
  </system.web>
  <system.webServer>
    <modules>
      <remove name="FormsAuthentication" />
    </modules>
  </system.webServer>

现在，在下面的行中，我给出了 7 天的到期时间，但会话仍然会在 10 - 15 分钟内到期：

  AuthenticationManager.SignIn(new AuthenticationProperties() { IsPersistent = isPersistent, ExpiresUtc = DateTime.UtcNow.AddDays(7) }, identity);

在我的下面的问题中，您会找到我的UserModel，自定义UserStore类但为了保持这个问题较小，我不会将该代码放在这里：

用户模型和用户存储 https://stackoverflow.com/questions/39275597/how-to-give-custom-implementation-of-updateasync-method-of-asp-net-identity

Update: 我已经完全排除了应用程序用户类所以现在下面的代码对我来说毫无用处，我想因为这个我的cookie会过期（我仍然不确定）：

 public void ConfigureAuth(IAppBuilder app)
        {
            app.CreatePerOwinContext(ApplicationDbContext.Create);
            app.CreatePerOwinContext<ApplicationUserManager>(ApplicationUserManager.Create);
            app.CreatePerOwinContext<ApplicationSignInManager>(ApplicationSignInManager.Create);
            app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
                LoginPath = new PathString("/Account/Login"),
                Provider = new CookieAuthenticationProvider
                {
                    OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
                        validateInterval: TimeSpan.FromMinutes(30),
                        regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
                }
            });            
 }

注意：**保持会话长时间处于活动状态的原因是因为我的 mvc 应用程序是角度驱动的，例如 Http get 调用、Http post 调用，因此当用户会话过期并且我尝试任何 **get 或 post 时调用然后在会话过期的情况下什么也不会发生，但是当我刷新整个页面时，用户将被重定向到登录页面，但在此之前，如果用户不刷新页面，用户将如何知道发生了什么。

你的问题是缺乏SecurityStamp。安全标记是一个随机字符串，用于检查服务器上的密码是否已更改。安全标记存储在 cookie 中，并时不时地根据数据库进行检查。如果数据库（存储）中的值与 cookie 中的值不同 - 用户将被要求登录。SecurityStampValidator正在执行所有检查和 cookie 失效。

您正在为用户使用自定义存储，这很好，但是您的存储没有实现IUserSecurityStampStore当用户登录 cookie 时，其值未达到SecurityStamp。这会导致故障SecurityStampValidator.

所以你的选择是：

1. 实施IUserSecurityStampStore在你的商店里。
2. Remove SecurityStampValidator从你的配置。

由于安全问题，我不喜欢第二种选择。您希望您的用户永远保持登录状态 - 这意味着 cookie 永远不会失效。但是当用户有2个浏览器时，都登录了。并在其中一个浏览器中更改密码 - 第二个浏览器应注销并要求输入密码。如果不检查安全标记，第二个浏览器将不会注销，并且 cookie 仍然有效。现在想象一下，在公共计算机上打开第二个浏览器，并且用户忘记注销 - 即使更改密码，也无法结束该会话。

实施IUserSecurityStampStore看看合同： http://aspnetidentity.codeplex.com/SourceControl/latest#src/Microsoft.AspNet.Identity.Core/IUserSecurityStampStore.cs

/// <summary>
///     Stores a user's security stamp
/// </summary>
/// <typeparam name="TUser"></typeparam>
/// <typeparam name="TKey"></typeparam>
public interface IUserSecurityStampStore<TUser, in TKey> : IUserStore<TUser, TKey> where TUser : class, IUser<TKey>
{
    /// <summary>
    ///     Set the security stamp for the user
    /// </summary>
    /// <param name="user"></param>
    /// <param name="stamp"></param>
    /// <returns></returns>
    Task SetSecurityStampAsync(TUser user, string stamp);

    /// <summary>
    ///     Get the user security stamp
    /// </summary>
    /// <param name="user"></param>
    /// <returns></returns>
    Task<string> GetSecurityStampAsync(TUser user);
}

基本上，这会向您的用户表添加另一列：SecurityStamp你需要在那里保存一个字符串。邮票的值是任何随机字符串。默认身份实现（第 734 行附近） http://aspnetidentity.codeplex.com/SourceControl/latest#src/Microsoft.AspNet.Identity.Core/UserManager.cs uses Guid.NewGuid().ToString()- 我建议你这样做。

您的用户存储将如下所示：

public class UserStore : IUserStore<UserModel>, IUserPasswordStore<UserModel>, IUserSecurityStampStore<TUser>
{
    // your other methods


    public async Task SetSecurityStampAsync(TUser user, string stamp)
    {
        if (user == null)
        {
            throw new ArgumentNullException("user");
        }
        user.SecurityStamp = stamp;
        return Task.FromResult(0);
    }

    Task<string> GetSecurityStampAsync(TUser user)
    {
        if (user == null)
        {
            throw new ArgumentNullException("user");
        }
        return Task.FromResult(user.SecurityStamp);
    }
}

请注意 - 在此操作中您不需要将用户保存到存储中。UserManager正在为您做这件事UpdateSecurityStampAsync- 除非你自己覆盖这个方法。

另外不要忘记给SecurityStamp创建新用户时的字段。并用值更新所有现有用户。像这样的东西会起作用update MyUsersTable set SecurityStamp = convert(nvarchar(38), NewId())