मैं अपने एएसपी.NET एमवीसी ऐप में iisreset के बाद होने वाले एंटीफ़ोर्गेरी टोकन अपवाद को कैसे हल करूं?

Question

मुझे एएसपी.NET एमवीसी में एंटीफोर्गेरी टोकन के साथ समस्याएं आ रही हैं। अगर मैं अपने वेब सर्वर पर एक आईस्रेसेट करता हूं और उपयोगकर्ता अपने सत्र के साथ जारी रहता है तो उन्हें लॉगिन पेज पर बाउंस किया जाता है। भयानक नहीं है लेकिन फिर एंटीफोर्गेरी टोकन उड़ाता है और फिर से जाने का एकमात्र तरीका ब्राउज़र पर कुकी को उड़ाना है।

संस्करण 1 के बीटा संस्करण के साथ यह मेरे लिए कुकी पढ़ने के दौरान गलत हो जाता था, इसलिए मैं सत्यापन टोकन मांगने से पहले इसे साफ़ करना चाहता था लेकिन इसे रिलीज़ होने पर तय किया गया था।

अब के लिए मुझे लगता है कि मैं बीटा समस्या को ठीक करने वाले मेरे कोड पर वापस रोल करूंगा लेकिन मैं मदद नहीं कर सकता लेकिन लगता है कि मुझे कुछ याद आ रहा है। क्या कोई आसान समाधान है, क्या मुझे बस अपना सहायक छोड़ना चाहिए और खरोंच से नया बनाना चाहिए? मुझे यह महसूस हो रहा है कि बहुत सी समस्या यह तथ्य है कि यह पुरानी एएसपी.Net पाइपलाइन में इतनी गहराई से बंधी हुई है और इसे ऐसा करने में मदद करने की कोशिश कर रही है जिसे वास्तव में करने के लिए तैयार नहीं किया गया था।

मुझे एएसपी.NET एमवीसी 2 आरसी के लिए स्रोत कोड में एक नज़र डाली गई थी और ऐसा लगता है कि कोड बहुत बदल गया है, जबकि मैंने कोशिश नहीं की है, मुझे नहीं लगता कि कोई जवाब है क्या आप वहां मौजूद हैं।

अपवाद के स्टैक ट्रेस का प्रासंगिक हिस्सा यहां दिया गया है।

संपादित करें: मुझे अभी एहसास हुआ कि मैंने उल्लेख नहीं किया है कि यह केवल GET अनुरोध पर टोकन डालने का प्रयास कर रहा है। यह वह सत्यापन नहीं है जो तब होता है जब आप पोस्ट को बंद कर देते हैं।

System.Web.Mvc.HttpAntiForgeryException: A required anti-forgery token was not 
supplied or was invalid. 
---> System.Web.HttpException: Validation of viewstate MAC failed. If this 
application is hosted by a Web Farm or cluster, ensure that <machineKey> 
configuration specifies the same validationKey and validation algorithm. 
AutoGenerate cannot be used in a cluster. 
---> System.Web.UI.ViewStateException: Invalid viewstate. 
    Client IP: 127.0.0.1 
    Port: 4991 
    User-Agent: scrubbed 
    ViewState: scrubbed 
    Referer: blah 
    Path: /oursite/Account/Login 
---> System.Security.Cryptography.CryptographicException: Padding is invalid and 
cannot be removed. 
at System.Security.Cryptography.RijndaelManagedTransform.DecryptData(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount, Byte[]& outputBuffer, Int32 outputOffset, PaddingMode paddingMode, Boolean fLast) 
at System.Security.Cryptography.RijndaelManagedTransform.TransformFinalBlock(Byte[] inputBuffer, Int32 inputOffset, Int32 inputCount) 
at System.Security.Cryptography.CryptoStream.FlushFinalBlock() 
at System.Web.Configuration.MachineKeySection.EncryptOrDecryptData(Boolean fEncrypt, Byte[] buf, Byte[] modifier, Int32 start, Int32 length, IVType ivType, Boolean useValidationSymAlgo) 
at System.Web.UI.ObjectStateFormatter.Deserialize(String inputString) 
--- End of inner exception stack trace --- 
--- End of inner exception stack trace --- 
at System.Web.UI.ViewStateException.ThrowError(Exception inner, String persistedState, String errorPageMessage, Boolean macValidationError) 
at System.Web.UI.ViewStateException.ThrowMacValidationError(Exception inner, String persistedState) 
at System.Web.UI.ObjectStateFormatter.Deserialize(String inputString) 
at System.Web.UI.ObjectStateFormatter.System.Web.UI.IStateFormatter.Deserialize(String serializedState) 
at System.Web.Mvc.AntiForgeryDataSerializer.Deserialize(String serializedToken) 
--- End of inner exception stack trace --- 
at System.Web.Mvc.AntiForgeryDataSerializer.Deserialize(String serializedToken) 
at System.Web.Mvc.HtmlHelper.GetAntiForgeryTokenAndSetCookie(String salt, String domain, String path) 
at System.Web.Mvc.HtmlHelper.AntiForgeryToken(String salt, String domain, String path) 

Answer 1

अपने MachineKey AutoGenerate, तो अपने सत्यापन टोकन, इत्यादि पर सेट है एक आवेदन को पुनः आरंभ करने से बच नहीं होगा - जब यह शुरू होता है ASP.NET एक नई कुंजी बना, और फिर करने के लिए सक्षम नहीं होगा टोकन सही ढंग से डिक्रिप्ट करें।

आप इस एक बहुत देख रहे हैं, मैं सुझाव चाहते हैं:

1. एक स्थिर MachineKey का विन्यास में अधिक जानकारी के
2. कोशिश के लिए "How to: Configure a MachineKey" देखते हैं (आप आवेदन स्तर पर ऐसा करने में सक्षम होना चाहिए), एक loadbalanced आवेदन है, जो डब्ल्यू होने से जब साइट

सबसे अच्छा तरीका इस्तेमाल किया जा रहा है यह है क्या करने के लिए आईआईएस पुनः निर्धारित करता है प्रदर्शन करने के लिए नहीं बीमार आपको एक स्थिर मशीनकी सेट करने की आवश्यकता है। कम से कम उन कोई बात बिगड़ जाए की उम्मीद होगी - एक अन्य विकल्प साइट के रूट में app_offline.htm नाम की एक फ़ाइल है, जो साइट ऑफ़लाइन अपने संदेश लेने के लिए और प्रदर्शित करेगा डाल कर साइट नीचे ले रहा है।

public ActionResult LogOn() 
    { 
     formsAuthentication.SignOut(); 

     Response.Cookies.Clear(); 

     Session[SessionKeys.USER_SESSION_KEY] = null; 
     Session.Clear(); 
     Session.Abandon(); 


     return View(); 
    } 

महत्वपूर्ण हिस्सा था:

Answer 2

अगर मैं अपने वेब सर्वर पर एक iisreset करते हैं और यदि कोई उपयोगकर्ता अपने सत्र वे एक लॉगिन पृष्ठ पर बाउंस हो साथ जारी है।

कोई कारण एक iisreset प्रवेश पृष्ठ पर उपयोगकर्ता लाने के लिए है। यदि आप प्रमाणीकरण जानकारी ट्रैक करने के लिए कुकीज़ का उपयोग करते हैं और एक स्टेटलेस एप्लिकेशन है, तो उपयोगकर्ता को सर्वर रीबूट करने के बाद भी प्रमाणित रहना चाहिए (बेशक अगर रीसेट के दौरान अनुरोध किया जाता है तो यह असफल हो जाएगा)।

Answer 3

अभी के लिए मैं एक ऐसे समाधान के साथ गया हूं जो अपवाद फेंक दिया गया है तो कुकी को स्क्रब्स करता है। अगर अपवाद फिर से फेंक दिया जाता है तो मैं इसे ऐसा होने दूंगा।

मैं इस आशा के लिए अब 'उत्तर' के रूप में चिह्नित नहीं करूंगा कि किसी के पास बेहतर जवाब है।

public static class MyAntiForgeryExtensions 
{ 
    // Methods 
    public static string MyAntiForgeryToken(this HtmlHelper helper) 
    { 
     return MyAntiForgeryToken(helper, null); 
    } 

    public static string MyAntiForgeryToken(this HtmlHelper helper, string salt) 
    { 
     string fragment; 
     string path = helper.ViewContext.HttpContext.Request.ApplicationPath; 
     try 
     { 
      fragment = helper.AntiForgeryToken(salt, null, path); 
     } 
     catch (HttpAntiForgeryException) 
     { 
      // okay, scrub the cookie and have another go. 
      string cookieName = GetAntiForgeryTokenName(path); 
      helper.ViewContext.HttpContext.Request.Cookies.Remove(cookieName); 
      fragment = helper.AntiForgeryToken(salt, null, path); 
     } 
     return fragment; 
    } 

    #region AntiForgeryData code that shouldn't be sealed 
    // Copied from AntiForgeryData since they aren't accessible. 
    internal static string GetAntiForgeryTokenName(string appPath) { 
     if (String.IsNullOrEmpty(appPath)) { 
      return "__RequestVerificationToken"; 
     } 
     else { 
      return "__RequestVerificationToken_" + Base64EncodeForCookieName(appPath); 
     } 
    } 
    private static string Base64EncodeForCookieName(string s) { 
     byte[] rawBytes = Encoding.UTF8.GetBytes(s); 
     string base64String = Convert.ToBase64String(rawBytes); 

     // replace base64-specific characters with characters that are safe for a cookie name 
     return base64String.Replace('+', '.').Replace('/', '-').Replace('=', '_'); 
    } 
    #endregion 
} 

Answer 4

वास्तव में मैं यह मेरा लॉगऑन कार्रवाई में काम करने के लिए मिल गया) Response.Cookies.Clear (;

Answer 5

मैं इस मुद्दे को और आप अपने वेब-config में स्पष्ट मशीन कुंजी जोड़ते है क्या करने की जरूरत ठीक करने के लिए ...

<machineKey validationKey="D82960E6B6E9B9029D4CAB2F597B5B4AF631E3C182670855D25FBDE1BFAFE19EFDE92ABBD1020FC1B2AE455D5B5F8D094325597CE1A7F8B15173407199C85A16" decryptionKey="577404C3A13F154908D7A5649EEC8D7C8A92C35A25A3EC078B426BB09D426A71" validation="SHA1" decryption="AES" /> 

सुनिश्चित था अपने web.config में रखा भीतर ...

<system.web> 

Answer 6

आप AntiForgeryConfig.SuppressIdentityHeuristicChecks = true;global.asax

protected void Application_Start() { 
    AntiForgeryConfig.SuppressIdentityHeuristicChecks = true; 
}