Session sonlandirma

Merhabalar..

Projemde olusturdugum Session olayini "Oturumu Kapat" butonuna tiklandigi zaman sonlandirmak istiyorum. Bunun icin Session.Clear() komutunu kullaniyorum ancak oturum yine kapanmiyor. Uye olmayanlarin girememesi gereken sayfalara yine girebiliyor. Ancak tarayiciyi kapatirsam oturum kapanmis oluyor. Bu nasil cozebilirim?

Tesekkurler..

Merhaba..

Session.Abondon() komutuyla tarayiciyi kapatmadan oturumu kapatabiliyor ve yeni kullanici acabiliyorum.

Ancak Admin yetkisine sahip bir kullanicinin oturumunu kapatip tekrar LOG IN sayfasina gittigim zaman diger sayfalara erisim engellenmiyor. Admin yetkileri devam ediyor.

Bu Session'i iptal etmenin bir yolu yok mu?

Tesekkurler..

Merhaba..

Onu da denedim tabi..Ama bir yerlerde birsey yanlis gidiyor.. Session.Stop() gibi bir komuta ihtiyacim var..Session'i tamamen pasif hale getirecek..

Herşeyden önce, Session ile sayfalara giriş yapıp yapmama ayrı şeylerdir.  Senin sorunun Sessionla değil.
1- Sorunun Authorization veya Authentication ile ilgili olabilir.
2- Belirtmemişssin ama vatandaş logout yaptıktan sonra, browser ın Back tuşu ile mi sayfalara tekrar girebiliyor? Öyleyse sorunun farklı çözümü vardır. Yok sayfanın ismini yazıp entera basarak mı giriyor o zaman sorunun 1. madde ile ilgilidir.

Tekrar edeyim, bir sayfayı görme yetkisi ile Session arasında birebir bir alaka yoktur.

Cokie kullanmayı denedinizmi? Bence daha sağlıklı sonuçlar elde edebilirsiniz. Ayrıca şu şekilde yapabilirsiniz:

Login aspx sayfasında seesion ile veya cokie ile birlikte giriş yapan kullanıcının MD5 olarak sakladığınız şifresini veya kullanıcı adını atama yaparsınız. Yetki vermek istediğiniz hersayfada (masterpage kullanıyorsanız) veya masterpagede bir kontrol yazarsınız. Eğer databasedeki bilgiler ile sessiondaki bilgiler uyuşuyorsa işlem yaptırmasını sağlayabilirsiniz. Böylelikle hosting firmasından yeni bir host alan lamer sitenize saldırı yapamaz. Yoksa Mazallah kendi sitesinden sessionu doğru şekilde doldurur sitenizde istediğini yapar. Bu konu basit bir konu değil. Bu yüzden biraz araştırma yapmanızı tavsiye ederim. Ayrıca bütün bu anlattıklarımı uyguladıysanız çıkış yapabilmek için
Session.Clear();
Session.Remove("kullaniciGirisOK");
Session.RemoveAll(); komutları işinizi görecektir. Bu şekilde kullanmanızı tavsiye etmem. Ancak şu şekilde bir örnek verebilirim:

Login aspx:


string kullaniciadi = TextBoxKullaniciAdi.Text;
stirng Sifre= TextBoxSifre.Text;
string MD5Sifre = System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(LoginPassword.Text, "MD5");
Response.reditect("LoginBasliyor.aspx?KullaniciAdi=" + kullaniciadi + "&Sifre=" + MD5Sifre);


LoginBasliyor.aspx

Page_Load Kısmı

//Burda Kullanıcı Bilgileri Doğrulamasını yap. Normal giriş yapılırken nasıl yapıyorsan o şekilde yap.

if(Bütün Yönergeler Doğruysa)
{
          HttpCookie cookie = new HttpCookie("cokieGirisOK");
          cookie.Name = "cokieGirisOK";
          string GirisYapanKisininSifresi = Request.QueryString.Get("Sifre");
          cookie.Values.Add("Sifre", GirisYapanKisininSifresi);
          cookie.Expires = DateTime.Now.Date.AddDays(1);
          HttpContext.Current.Response.Cookies.Add(cookie);
          HttpContext.Current.Request.Cookies.Add(cookie);
}

Giriş yapılan sayfa.aspx

string GirisYapanKullanici = Request.Cookies["cokieGirisOK"]["Sifre"];

if(GirisYapanKullanici != string.empty)//Bilgilerin boş olup olmadığını kontrol ediyoruz.
{
//Burda Yine bir kontrol yapıyoruz.
sqlcommand cmd = new sqlcommand("SELECT * FROM Kullanicitbl WHERE Sifre=@Sifre", baglanti);
cmd.Parameters.add("@Sifre", GirisYapanKullanici);
baglanti.open();
datareader rdr = cmd.executereader();
if(rdr != null)
{
while(rdr.read())
{
LabelGirisYapanKullanici = rdr["KullaniciAdi"].ToString();
}
else
{
response.reditect("Login.aspx");
}
}
else
{
response.reditect("Login.aspx");
}
}

//Bu güzel bir Giriş Örneğiydi. Şimdide çıkış yapalım:

//Herhangi bir butonun click eventine şu kodu yaz:

    HttpCookie cookie = new HttpCookie("cokieGirisOK");
    string GirisYapanKisininSifresi = "";
    cookie.Values.Add("Sifre", GirisYapanKisininSifresi);
    cookie.Expires = DateTime.Now.AddMilliseconds(1);
    HttpContext.Current.Response.Cookies.Add(cookie);
    HttpContext.Current.Request.Cookies.Add(cookie);
    Response.Redirect("Login.aspx");

//Yukarıdakide Çıkış örneğiydi.

//Kodlamada hata vardır. Sadece örnek amaçlı yazdığım içindir oda. Kodlarını düzenlersen sağlıklı bir login sayfan olacağına inanmaktayım...


Edited by hackwebnet - 23 Mayıs 2010 at 19:13

ICell wrote: Herşeyden önce, Session ile sayfalara giriş yapıp yapmama ayrı şeylerdir.  Senin sorunun Sessionla değil. 1- Sorunun Authorization veya Authentication ile ilgili olabilir.2- Belirtmemişssin ama vatandaş logout yaptıktan sonra, browser ın Back tuşu ile mi sayfalara tekrar girebiliyor? Öyleyse sorunun farklı çözümü vardır. Yok sayfanın ismini yazıp entera basarak mı giriyor o zaman sorunun 1. madde ile ilgilidir.Tekrar edeyim, bir sayfayı görme yetkisi ile Session arasında birebir bir alaka yoktur.

Merhaba..

Kisi logout yaptiktan sonra adres cubuguna sayfanin adini yazdiginda yonlenebiliyor. Aslinda girememesi lazim. Henuz hic login olmadigi zaman durumlar dogru isliyor ama logout yaptiktan sonra Session devam ediyor.

Tesekkurler..Ilk yazdiginiz durumlara bir goz atacagim..

Edited by peaceful - 26 Mayıs 2010 at 08:54

Tesekkur ederim..Sorun cozuldu..

If Session("Rutbe") = "User" Then ile If Session("Rutbe") <> "Admin" Then demek arasinda nasil oluyorsa farklilik oluyor. Her kullanicinin mutlaka bir rutbesi var, bu yuzden Null olamaz zaten ve Admin degilse mecbur User olacagindan bu durum sacma. Farklilik olmamasi lazim ama yine de vaziyet bu.

Su an Session ile alakali bir sorun kalmadi. Herkese yardimlarindan dolayi tesekkur ederim..

Iyi calismalar..

Hmm..Anladim..Bu durumda Null durumu icin de bir If olusturmam gerekir.

Bazi komutlarin(Abandon gibi) tam olarak ne ise yaradigini bilmeyince olusan aciklari kapatmak icin saatlerce ugrasiyoruz iste..

Tekrar tesekkur ederim..