.Net 4.5.1/MVC 5.1.2/Identity 2.0.1
问候,
我需要管理员禁用(不能删除(用户帐户的方法,所以我将LockoutEndDateUTC字段设置为未来日期,并且我已经将所有用户的LockoutEnabled字段设置为true。这里还有另一个SO线程,讨论相同的方法。这显然有效,但前提是用户必须输入用户名/密码。
问题是。。。如果用户在被禁用之前已经使用"记住我"功能设置了auth cookie,则不会检查锁定,所有后续访问都会经过身份验证,最终会忽略"锁定"。
首先,我认为这是Identity中的一个错误,我已经在codeplex上记录了一个问题。
第二,在2.0版本中,有没有更好的方法来禁用用户?
谢谢!
被锁定的用户被阻止登录,但被锁定并不会拒绝现有的cookie,否则恶意用户可能会导致真实用户的cookie被拒绝。当然,如果你确实想要这种行为,你只需对在登录操作中被锁定的用户调用UpdateSecurityStamp,这将在下次根据数据库验证现有cookie时拒绝它们。