124 messaggi dal 26 febbraio 2007
Ciao,

Sto leggendo un codice sorgente di un'applicazione perchè ho un comportamento strano, in pratica una volta fatta la login, anche se faccio logout, continuo ad avere i permessi per accedere per un tot di tempo (intervallo di tempo molto variabile).


Quello che ho visto è che la gestione dei permessi è basata sui Claim e che nonostante al metodo di controllo sia passato il Contect, viene preso il Thread.CurrentPrincipal.

A me sembra che questo Thread resti valorizzato per un TOT di tempo, indipendentemente dal contesto dell'applicazione e che magari due diverse richieste utilizzino lo stesso Thread e che quindi la mia richiesta anonima abbia accesso al Thread (e quindi le credenziali) dell'utente con cui avevo fatto l'autenticazione.


Potrebbe essere un'ipotesi corretta? oppure ogni richiesta crea sempre un nuovo thread?

Ho provato a legegre qualche articolo tra HttpContext.Current and Threads ma mi sono solamente aumentati i dubbi


Grazie
919 messaggi dal 11 febbraio 2013
Puoi postare il codice del logout?
124 messaggi dal 26 febbraio 2007
E' un autenticazione basata sul Bear Token, quindi lato client non passo più il token. lato server non c'è nessuna operazione
919 messaggi dal 11 febbraio 2013
Allora il token/cookie non viene cancellato ... almeno credo

voglio dire che se non cè un metodo allora il cookie rimane attivo fino alla scadenza prevista
Modificato da jjchuck il 15 novembre 2019 16:26 -

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.