Anti faux jeton signifie pour l'utilisateur “” mais l'utilisateur actuel est le “nom d'utilisateur”

Je suis en train de construire une seule page de l'application et de rencontrer un problème avec les anti-faux jetons.

Je sais pas pourquoi le problème se produit-je ne sais pas comment le résoudre.

Je reçois le message d'erreur lorsque les événements suivants se produit:

  1. Non-enregistrés l'utilisateur charge un dialogue (avec un anti-faux jeton)
  2. Utilisateur ferme la boîte de dialogue
  3. Utilisateur se connecte
  4. Utilisateur ouvre la boîte de dialogue même
  5. Utilisateur soumet le formulaire dans la boîte de dialogue

Anti faux jeton signifie pour l'utilisateur "" mais l'utilisateur actuel est
"nom d'utilisateur"

La raison à cela est parce que mon application est 100% sur une seule page, et quand un utilisateur se connecte avec succès par le biais d'un ajax post pour /Account/JsonLogin, il me suffit de passer les points de vue actuels avec la "authentifié vues" retourné par le serveur, mais ne pas recharger la page.

Je sais que c'est la raison parce que si je simple rechargement de la page, entre les étapes 3 et 4, il n'y a pas d'erreur.

Il semble donc que @Html.AntiForgeryToken() dans la forme chargée renvoie toujours un jeton pour l'ancien utilisateur jusqu'à ce que la page est rechargée.

Comment puis-je changer @Html.AntiForgeryToken() pour retourner un jeton pour le nouveau, utilisateur authentifié?

J'ai injecter une nouvelle GenericalPrincipal avec une coutume IIdentity sur chaque Application_AuthenticateRequest donc, le temps que @Html.AntiForgeryToken() est appelée HttpContext.Current.User.Identity est, en fait, mon Identité personnalisée avec IsAuthenticated propriété a la valeur true et encore @Html.AntiForgeryToken encore semble rendre un jeton pour l'ancien utilisateur, sauf si je fais un rechargement de la page.

  • Pouvez-vous réellement vérifier que l' @Html.AntiForgeryToken code est appelé sans recharger?
  • Il est certainement, je peux le succès de la pause pour mission d'inspecter HttpContext.Actuel.L'utilisateur de l'objet, comme je l'ai mentionné
  • Veuillez vous référer à ceci: stackoverflow.com/a/19471680/193634
  • pourriez-vous nous dire quelle option avez-vous aller dans la réponse ci-dessous.
  • Je crois que j'ai fait une exception pour aller avec un rechargement complet si je me souviens bien. Mais je m'attends à rencontrer ce problème très bientôt dans un nouveau projet. Nouveau si j'opte avec un meilleur option.
InformationsquelleAutor parliament | 2013-02-20
  1. 166

    Ce qui se passe parce que les anti-faux jeton incorpore le nom d'utilisateur de l'utilisateur dans le cadre de l'jeton chiffré pour mieux validation. Lorsque vous appelez d'abord la @Html.AntiForgeryToken() l'utilisateur n'est pas connecté dans le jeton sera une chaîne vide pour le nom d'utilisateur, après que l'utilisateur se connecte, si vous ne remplacez pas l'anti-faux jeton de ne pas passer à la validation du fait que les premiers jeton a été pour utilisateur anonyme et maintenant nous avons un utilisateur authentifié avec un nom d'utilisateur.

    Vous avez un peu d'options pour résoudre ce problème:

    1. Juste cette fois, laissez votre SPA de faire un POST complet et lorsque la page est actualisée, elle va avoir un anti-faux jeton avec la mise à jour du nom d'utilisateur intégré.

    2. Avoir une vue partielle avec juste @Html.AntiForgeryToken() et à droite après la connexion, faire une autre requête AJAX et remplacer votre anti-faux jeton avec la réponse à la demande.

    3. Il suffit de désactiver la vérification de l'identité de l'anti-contrefaçon de validation effectue. Ajoutez les lignes suivantes à votre Application_Start méthode: AntiForgeryConfig.SuppressIdentityHeuristicChecks = true.

    • vous avez accepté cette réponse, pourriez-vous partager avec nous de l'option choisie?
    • +1 pour la belle & simple option 3. Chronométré déconnexions par OAuth fournisseurs également provoquer ce problème.
    • oui +1 pour l'option 3. il est vraiment difficile de comprendre d'où cela se passe sur mon site. Swithcing utilisateurs ou l'enregistrement des causes de cette erreur, mais lorsque j'actualise son parti. Ehh. Merci. Ce qu'il est corrigé.
    • L'Option 3 ne fonctionne pas pour moi. Evidemment, j'ai ouvert deux fenêtres sur la page de connexion. Connecté en tant qu'utilisateur dans une fenêtre, puis ouvrez une session en tant qu'un autre utilisateur dans l'autre et a reçu le même message d'erreur.
    • bonne prise. Avez-vous trouvé une solution pour cela? Rencontrant le même problème.
    • Malheureusement, je ne pouvais pas obtenir une bonne solution pour cela. J'ai enlevé le jeton à partir de la page de connexion. J'ai toujours l'inclure sur les poteaux après la connexion.
    • L'Option 3 ne fonctionne pas pour moi non plus. Toujours la même erreur.
    • L'Option 3 ne fonctionne pas pour moi non plus. Mais l'option 2 a fonctionné parfaitement bien. Je suis d'appeler un $.get() sur le document de charge et recharger le jeton à chaque fois. L'erreur ne se produit que pour moi sur la page de connexion. Un utilisateur va ouvrir une session, cliquez sur sauvegarde, puis vous connecter à nouveau. Cela était la cause pour moi.
    • #3 devrait être supprimé de cette réponse. Il ne marche pas désactiver l'identité de vérifier comme implicite. Voir asp.net/mvc/overview/security/... If this value is true, the system will assume that IIdentity.Name is appropriate for use as a unique per-user identifier and will not try to special-case IClaimsIdentity
    • Pour l'option #3 Ms est en train de dire que "l'Utilisation de prudence lors de la définition de cette valeur. À l'aide de la mauvaise façon peut ouvrir des failles de sécurité dans l'application." msdn.microsoft.com/en-us/library/... Donc, doit-on vraiment l'utiliser?
    • Le numéro 2 a été l'un 🙂 Cheers !
    • L'Option 2 a fonctionné pour moi. Mon code a pour OBTENIR un nouveau jeton, mettre en __RequestVerificationToken, puis de publier.
    • quelqu'un peut-il fournir un exemple de code pour l'option #2? J'ai essayé l'option n ° 3 et ça ne fonctionne pas.
    • De même, ont eu l'option 3 dans ma solution, encore en train d'erreur
    • AntiForgeryConfig de l'auto-complétion ne me donne pas une option pour sélectionner SuppressIdentityHeuristicChecks. Je suis à l'aide d'Asp .NET Web API
    • Je vais avoir le même problème avec le mode d'Authentification Windows. System.Web.Mvc.HttpAntiForgeryException: 'The provided anti-forgery token was meant for user "Domain\User Name", but the current user is "User Name".'
    • AntiForgeryConfig.SuppressIdentityHeuristicChecks = true ne fonctionne pas pour moi
    • C'est parce que la propriété est décorée avec [EditorBrowsable(EditorBrowsableState.Never)] attribut. donc vous ne pouvez pas obtenir que la saisie semi-automatique

    InformationsquelleAutor epignosisx
  2. 22

    Pour corriger l'erreur, vous devez placer le OutputCache Annotation de Données sur le ActionResult de la page de Login comme:

    [OutputCache(NoStore=true, Duration = 0, VaryByParam= "None")] 
public ActionResult Login(string returnUrl)
    • Cela a résolu le problème pour moi, est tout à fait pertinent. Merci!
    • Mon cas d'utilisation est l'utilisateur a essayé de connexion, et a montré une erreur par exemple "compte désactivé" via ModelState.AddError(). Ensuite si ils ont cliqué sur connecter de nouveau ils allaient voir cette erreur. Toutefois, ce correctif vient de leur donner un blanc frais de connexion view, plutôt que de l'anti faux jeton d'erreur. Donc, pas une solution.
    • Mon Cas : 1. La Connexion de l'utilisateur() et des terres dans la page d'accueil. 2. Utilisateur appuie sur bouton "retour" et remonte à la vue Login. 3. La connexion de l'utilisateur et de voir le message d'erreur "Anti faux jeton signifie pour l'utilisateur “” mais l'utilisateur actuel est le “nom d'utilisateur”" Sur la page d'erreur Si l'utilisateur clique sur les autres onglets du menu, l'application fonctionnait comme prévu. À l'aide de code ci-dessus, l'utilisateur peut encore frappé bouton de retour mais il est redirigé vers la page d'accueil. Donc, peu importe la façon dont beaucoup de temps que l'utilisateur appuie sur le bouton de retour, il sera redirigé vers la page d'accueil. Merci
    • Des idées pourquoi cela ne fonctionne pas sur un Xamarin webview?
    • Pour une explication détaillée, voir amélioration des performances avec la mise en cache de sortie
    InformationsquelleAutor user3401354
  3. 10

    Il se passe beaucoup de temps avec mon application, j'ai donc décidé de google pour elle!

    J'ai trouvé une explication simple sur cette erreur!
    L'utilisateur double-cliquez sur le bouton pour vous connecter! Vous pouvez en voir un autre utilisateur d'en parler sur le lien ci-dessous:

    MVC 4, à la condition anti-faux jeton a été conçu pour l'utilisateur ", " mais l'utilisateur actuel est "utilisateur"

    J'espère que cela aide! =)

    • C'était mon problème. Thx!
    InformationsquelleAutor Ricardo França
  4. 8

    J'ai eu le même problème, et cette sale hack obtenu fixe, au moins jusqu'à ce que je peux le résoudre d'une manière plus propre.

        public ActionResult Login(string returnUrl)
    {
        if (AuthenticationManager.User.Identity.IsAuthenticated)
        {
            AuthenticationManager.SignOut();
            return RedirectToAction("Login");
        }

    ...

    • Semble que j'ai eu le même problème. IMO c'est pas un hack, c'est la même chose que nous devrions tous vérifier lors de la connexion. Si l'utilisateur est déjà connecté, il suffit de s'inscrire et d'affichage de la page de connexion. Fixe mon problème, je vous remercie.
    InformationsquelleAutor mnemonics
  5. 2

    Le message s'affiche lorsque vous vous connectez quand vous êtes déjà authentifié.

    Cette aide fait exactement la même chose que [ValidateAntiForgeryToken] attribut.

    System.Web.Helpers.AntiForgery.Validate()

    Supprimer la [ValidateAntiForgeryToken] attribut de contrôleur et de placer cette fonction d'aide à l'action methode.

    Ainsi, lorsque l'utilisateur est déjà authentifié, rediriger vers la page d'accueil ou sinon, continuez avec la vérification de la validité de la lutte anti-contrefaçon jeton après cette vérification.

    if (User.Identity.IsAuthenticated)
{
    return RedirectToAction("Index", "Home");
}

System.Web.Helpers.AntiForgery.Validate();

    Pour essayer de reproduire l'erreur, procédez comme suit:
    Si vous êtes sur votre page de connexion et vous n'êtes pas authentifié. Si vous dupliquez l'onglet et que vous vous connectez avec le deuxième onglet.
    Et si vous revenez sur le premier onglet sur la page de connexion et vous essayez de vous connecter sans avoir à recharger la page ... vous avez cette erreur.

    • Excellente solution! Cela a résolu mon problème après avoir essayé beaucoup d'autres suggestions qui n'ont pas de travail. Tout d'abord, c'était une douleur de reproduire l'erreur, jusqu'à ce que j'ai découvert qu'il pourrait être à cause de 2 navigateurs ou les onglets ouverts avec la même page, et la connexion de l'utilisateur à partir de l'un, puis la connexion à partir de la deuxième sans avoir à recharger.
    InformationsquelleAutor A. Morel
  6. 2

    J'ai la même exception survenant la plupart du temps sur le serveur de production.

    Pourquoi se produit-il?

    Il se passe lors de la connexion de l'utilisateur avec des informations d'identification valides et une fois connecté et de rediriger vers une autre page, et après ils appuyez sur le bouton pour afficher la page de connexion et encore une fois, il est entré des informations d'identification valides que le temps de cette exception se produit.

    Comment le résoudre?

    Il suffit d'ajouter cette ligne et le travail parfait, pas une erreur.

    [OutputCache(NoStore = true, Duration = 0, VaryByParam = "None")]
    InformationsquelleAutor Brijesh Mavani
  7. 1

    J'ai eu une assez précis, même problème similaire dans le processus d'inscription. Une fois que l'utilisateur a cliqué sur le lien du courriel envoyé à eux, qu'ils allaient être enregistré et envoyé directement à un compte d'écran pour remplir un peu plus d'informations. Mon code est:

        Dim result = Await UserManager.ConfirmEmailAsync(userId, code)
    If result.Succeeded Then
        Dim appUser = Await UserManager.FindByIdAsync(userId)
        If appUser IsNot Nothing Then
            Dim signInStatus = Await SignInManager.PasswordSignInAsync(appUser.Email, password, True, shouldLockout:=False)
            If signInStatus = SignInStatus.Success Then
                Dim identity = Await UserManager.CreateIdentityAsync(appUser, DefaultAuthenticationTypes.ApplicationCookie)
                AuthenticationManager.SignIn(New AuthenticationProperties With {.IsPersistent = True}, identity)
                Return View("AccountDetails")
            End If
        End If
    End If

    J'ai trouvé que le Retour à la Vue("AccountDetails") a été de me donner le jeton d'exception, je suppose parce que le ConfirmEmail fonction a été décoré avec AllowAnonymous mais la AccountDetails fonction de ValidateAntiForgeryToken.

    Changeant le Retour à Retour RedirectToAction("AccountDetails") a résolu le problème pour moi.

    InformationsquelleAutor Liam
  8. 1
    [OutputCache(NoStore=true, Duration=0, VaryByParam="None")]

public ActionResult Login(string returnUrl)

    Vous pouvez le tester en mettant un point d'arrêt sur la première ligne de votre Login (Get) de l'action. Avant d'ajouter la directive OutputCache le point d'arrêt serait frappé sur le premier chargement, mais après avoir cliqué sur le bouton précédent du navigateur, il ne serait pas. Après l'ajout de la directive, vous devriez vous retrouver avec le point d'arrêt d'être frappé à chaque fois, de sorte que le AntiForgeryToken sera le juste un, non pas un vide.

    InformationsquelleAutor Marian Dalalau
  9. 0

    J'ai eu le même problème avec une page unique ASP.NET MVC application de Base. Je l'ai résolu en mettant HttpContext.User dans toutes les actions du contrôleur qui changent d'identité en cours créances (depuis MVC seulement pour les requêtes suivantes, tel que discuté ici). J'ai utilisé un résultat filtre au lieu de middleware pour ajouter les antiforgery des cookies pour mes réponses, ce qui fait en sorte qu'ils ont été générés seulement après le MVC action étaient de retour.

    Contrôleur (NB. Je suis de la gestion des utilisateurs avec ASP.NET de Base de l'Identité):

    [Authorize]
[ValidateAntiForgeryToken]
public class AccountController : Controller
{
private SignInManager<IdentityUser> signInManager;
private UserManager<IdentityUser> userManager;
private IUserClaimsPrincipalFactory<IdentityUser> userClaimsPrincipalFactory;
public AccountController(SignInManager<IdentityUser> signInManager, UserManager<IdentityUser> userManager, IUserClaimsPrincipalFactory<ApplicationUser> userClaimsPrincipalFactory)
{
this.signInManager = signInManager;
this.userManager = userManager;
this.userClaimsPrincipalFactory = userClaimsPrincipalFactory;
}
[HttpPost]
[AllowAnonymous]
public async Task<IActionResult> Login(string username, string password)
{
if (username == null || password == null)
{
return BadRequest(); //Alias of 400 response
}
var result = await signInManager.PasswordSignInAsync(username, password, false, lockoutOnFailure: false);
if (result.Succeeded)
{
var user = await userManager.FindByNameAsync(username);
//Must manually set the HttpContext user claims to those of the logged
//in user. Otherwise MVC will still include a XSRF token for the "null"
//user and token validation will fail. (MVC appends the correct token for
//all subsequent reponses but this isn't good enough for a single page
//app.)
var principal = await userClaimsPrincipalFactory.CreateAsync(user);
HttpContext.User = principal;
return Json(new { username = user.UserName });
}
else
{
return Unauthorized();
}
}
[HttpPost]
public async Task<IActionResult> Logout()
{
await signInManager.SignOutAsync();
//Removing identity claims manually from the HttpContext (same reason
//as why we add them manually in the "login" action).
HttpContext.User = null;
return Json(new { result = "success" });
}
}

    Résultat de filtre pour ajouter antiforgery cookies:

    public class XSRFCookieFilter : IResultFilter
{
IAntiforgery antiforgery;
public XSRFCookieFilter(IAntiforgery antiforgery)
{
this.antiforgery = antiforgery;
}
public void OnResultExecuting(ResultExecutingContext context)
{
var HttpContext = context.HttpContext;
AntiforgeryTokenSet tokenSet = antiforgery.GetAndStoreTokens(context.HttpContext);
HttpContext.Response.Cookies.Append(
"MyXSRFFieldTokenCookieName",
tokenSet.RequestToken,
new CookieOptions() {
//Cookie needs to be accessible to Javascript so we
//can append it to request headers in the browser
HttpOnly = false
} 
);
}
public void OnResultExecuted(ResultExecutedContext context)
{
}
}

    De démarrage.cs d'extrait de:

    public partial class Startup
{
public Startup(IHostingEnvironment env)
{
//...
}
public IConfigurationRoot Configuration { get; }
public void ConfigureServices(IServiceCollection services)
{
//...
services.AddAntiforgery(options =>
{
options.HeaderName = "MyXSRFFieldTokenHeaderName";
});
services.AddMvc(options =>
{
options.Filters.Add(typeof(XSRFCookieFilter));
});
services.AddScoped<XSRFCookieFilter>();
//...
}
public void Configure(
IApplicationBuilder app,
IHostingEnvironment env,
ILoggerFactory loggerFactory)
{
//...
}
}
    InformationsquelleAutor Ned Howley
  10. -2

    A un problème avec les anti-faux-jeton de validation sur le site internet: les utilisateurs d'ouvrir beaucoup d'onglets (des marchandises) et après avoir connecté sur l'un essaye d'ouvrir une session sur l'autre, et a obtenu de tels AntiForgeryException.
    Donc, AntiForgeryConfig.SuppressIdentityHeuristicChecks = true n'aide pas pour moi, j'ai donc utilisé ces laid hackfix, il sera peut-être utile pour quelqu'un:

       public class ExceptionPublisherExceptionFilter : IExceptionFilter
{
public void OnException(ExceptionContext exceptionContext)
{
var exception = exceptionContext.Exception;
var request = HttpContext.Current.Request;
if (request != null)
{
if (exception is HttpAntiForgeryException &&
exception.Message.ToLower().StartsWith("the provided anti-forgery token was meant for user \"\", but the current user is"))
{
var isAjaxCall = string.Equals("XMLHttpRequest", request.Headers["x-requested-with"], StringComparison.OrdinalIgnoreCase);
var returnUrl = !string.IsNullOrWhiteSpace(request["returnUrl"]) ? request["returnUrl"] : "/";
var response = HttpContext.Current.Response;
if (isAjaxCall)
{
response.Clear();
response.StatusCode = 200;
response.ContentType = "application/json; charset=utf-8";
response.Write(JsonConvert.SerializeObject(new { success = 1, returnUrl = returnUrl }));
response.End();
}
else
{
response.StatusCode = 200;
response.Redirect(returnUrl);
}
}
}
ExceptionHandler.HandleException(exception);
}
}
public class FilterConfig
{
public static void RegisterGlobalFilters(GlobalFilterCollection filters)
{
filters.Add(new ExceptionPublisherExceptionFilter());
filters.Add(new HandleErrorAttribute());
}
}

    Pense que ça va être génial si anti-faux-jeton options de génération peut être défini, afin d'exclure nom d'utilisateur ou quelque chose comme ça.

    • C'est un terrible exemple de régler le problème en question. Ne pas l'utiliser.
    • Tout à fait d'accord avec xxbbcc.
    • OK, cas d'utilisation: formulaire de connexion avec anti faux jeton. L'ouvrir dans 2 onglets du navigateur. Connecter en premier. Vous cant actualiser la deuxième onglet. Quelle solution proposez-vous pour corriger le comportement de l'utilisateur qui essaie de se connecter à partir de la deuxième onglet?
    • corriger les comportements suivants: détecter externe connexion en utilisant les websockets ou signalR. C'est la même session, de sorte que vous pourriez le faire fonctionner, je suppose 🙂
    InformationsquelleAutor user3364244