初识ASP.NET MVC窗体验证与权限过滤---3.自定义过滤器验证Session超时-优快云博客

本文链接：https://blog.youkuaiyun.com/echoshinian100/article/details/45767261

本文介绍了一种通过自定义过滤器来检测并处理session过期的方法。该方法可以在session过期时，清除客户端的鉴权cookies，并跳转到指定页面。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

为了防止用户在seesion过期之后进行操作，可以添加自定义过滤器验证session是否过期，为了便于测试将过期时间设置为1分钟，在Filters文件夹下添加一个自定义过滤器。

namespace AuthStudy.Filters
{
    public class CustomFilterAttribute :ActionFilterAttribute
    {
        public override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            if (filterContext.HttpContext.Session["username"] == null)
            {
                FormsAuthentication.SignOut();
                filterContext.HttpContext.Response.Redirect("/Home/Test", true);
            }
            filterContext.HttpContext.Response.Write("开始时间:" + DateTime.Now.ToString() + "<br/>");
        }
    }
}

当session中的用户名消失，调用FormsAuthentication.SignOut()方法清除客户端的鉴权cookies,然后跳转到一个新页面。然后对action添加这个过滤器即可：

    [CustomFilter]
    public class MainController : Controller
    {
        [Authorize(Roles = "Manager")]      
        public ActionResult Index()
        {
            return View();
        }
        public ActionResult LogOff()
        {
            FormsAuthentication.SignOut();
            return RedirectToAction("Index", "Main");
        }
    }

       经过测试，当超过一分钟后刷新页面，跳转到了指定的提示页面上。当我们试图进入需要授权的 /main/index 页面时，发现页面跳转到了登陆页也就是/Home/index上，浏览器显示的url为http://localhost:38565/Home/Index?ReturnUrl=%2fmain%2findex，说明这个页面是从/main/index跳转而来，证实其鉴权cookies已经被清除。
       通过上述手段，可以实现session和窗体身份的双重检测，避免seesion过期而身份依然存在可以访问的问题。