c# - 用户能够看到其他人的详细信息。 FirstOrDefault 返回错误的记录？还是缓存问题？帮助! :)

Question

我网站的用户昨天遇到了一些奇怪的行为(我第一次看到这个问题)，不幸的是我没有太多的错误日志来试图弄清楚发生了什么。该网站同时在线的人数高于正常水平，尽管在宏伟的计划中人数并不多(可能有 50 到 100 名用户都在尝试执行类似的功能)。我无法在我的开发环境中重现该问题，以前从未见过，也不知道为什么会这样。

问题的症结在于用户可以注册或登录成功，但少数用户可以看到其他用户的数据。

网站是 ASP.NET MVC 3。

用户正在登录，我设置了身份验证 cookie - 这是登录操作:

    [HttpPost]
    public ActionResult LogOn(AccountLogOnViewModel model, string returnUrl)
    {
        if (ModelState.IsValid)
        {
            if (!Membership.ValidateUser(model.UserName, model.Password))
            {
                ModelState.AddModelError("login-message", "Incorrect username or password");
            }
        }

        if (ModelState.IsValid)
        {
            FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
            Session.Remove("MenuItems");
            return Redirect(returnUrl ?? Url.Action("Index", "Home"));
        }
        else
        {
            model.ReturnUrl = returnUrl;
            return View(model);
        }
    }

AccountLogOnViewModel 是一个简单的对象，具有两个字符串属性，UserName 和 Password。

据我所知，这很好 - 如果您以 NickW 身份登录，然后正确地执行 User.Identity.Name 之类的操作，您就会得到“NickW”(当用户看到其他用户的数据时，他们报告说“Welcome , NickW"屏幕上的文本向他们显示了正确的值 - 这是使用 User.Identity.Name 写出的)

该网站还使用自定义成员(member)资格提供商。它覆盖 ValidateLogin 方法和 GetUser 方法。 ValidateLogin 似乎工作正常，所以我并不担心。

重写的GetUser方法如下:

    public override MembershipUser GetUser(string username, bool userIsOnline)
    {
        User user = _userRepository.Users.FirstOrDefault(u => u.UserName == username);
        MembershipUser membershipUser = null;

        if (user == null)
            return membershipUser;

        membershipUser = new MembershipUser(this.Name,
            user.UserName,
            user.Id,
            user.Email,
            null,
            user.Comments,
            user.IsActivated,
            user.IsLockedOut,
            user.CreatedDate,
            user.LastLoginDate,
            user.LastLoginDate,
            user.LastModifiedDate,
            Convert.ToDateTime(user.LastLockedOutDate));

        return membershipUser;
    }

所以我试图从我的数据库中检索一个 User 对象，并使用它来创建一个新的 MembershipUser 对象。我的数据库用户表在成员(member)提供者所需的列之上有额外的列 - 例如姓名、地址、电话号码等

在网站其余部分的不同位置(例如，如果您转到个人资料页面)，我从数据库中检索一个用户对象并使用它来填充屏幕。我用来检索用户对象的行是:

User user = userRepository.Users.FirstOrDefault(u => u.UserName == Membership.GetUser().UserName);

这是 userRepository 的简化版本(即只删除不相关的代码)。

public class SqlUserRepository : IUserRepository
{
    private Table<User> usersTable;
    private string _connectionString;

    public SqlUserRepository(string connectionString)
    {
        _connectionString = connectionString;
        usersTable = (new DataContext(connectionString)).GetTable<User>();
    }


    public IQueryable<User> Users
    {
        get { return usersTable; }
    }

    public void CreateUser(AccountRegisterViewModel user)
    {
        User newUser = new User();

        newUser.UserName = user.UserName;
        newUser.Salutation = user.Salutation;
        newUser.PhoneNumber = user.PhoneNumber;
        newUser.SecondaryPhoneNumber = user.SecondaryPhoneNumber;
        newUser.FirstName = user.FirstName;
        newUser.LastName = user.LastName;
        newUser.PasswordSalt = CreateSalt();
        newUser.Password = CreatePasswordHash(user.Password, newUser.PasswordSalt);
        newUser.Email = user.Email;
        newUser.CreatedDate = DateTime.UtcNow;
        newUser.Comments = "Created from web registration";
        newUser.LastModifiedDate = DateTime.UtcNow;
        newUser.LastLoginDate = DateTime.UtcNow;
        newUser.IsActivated = true;
        newUser.IsLockedOut = false;
        newUser.MayContact = user.MayContact;

        usersTable.InsertOnSubmit(newUser);
        usersTable.Context.SubmitChanges();
    }
}

所以在我看来，我设置的身份验证 cookie 没问题，但要么:当我第一次进入成员提供者的 GetUser() 方法时，它从数据库中检索了错误的记录，因此使用错误的用户名设置了一个 MembershipUser 对象；随后，当我在数据库中查找“这个”用户时，我实际上是在寻找错误的用户名。

或者:当我执行 userRepository.FirstOrDefault(x => x.UserName == Membership.GetUser().Name) 时，它会间歇性地检索到错误的记录。

或者:我没有想到的其他错误。

正如我所说，这似乎是站点负载不足时的问题，所以我想知道这是否是某处的某种缓存问题？但我真的不知道。

我的一个想法是更改我检索用户的方式，以防问题出在成员(member)提供者身上，并改用它:

userRepository.FirstOrDefault(x => x.UserName == User.Identity.Name)
// or HttpContext.Current.User.Identity.Name if not within a controller

但实际上我什至不确定发生了什么，所以不知道这是否能解决问题。可能是某个地方的缓存问题吗？看起来(但我不能 100% 确定)当用户 A 可以看到用户 B 的详细信息时，用户 B 总是在系统中处于事件状态(或者在过去 20 分钟内处于事件状态)。

我知道这是不可能的，但有谁知道这是怎么发生的吗？显然这是一个主要问题，需要紧急修复，但不知道为什么会发生，我无法修复它!

在此先感谢您的帮助，尼克

Answer 1

一些需要考虑的事情:

1. 不使用 FirstOrDefault，而是使用 SingleOrDefault。 FirstOrDefault 假定将有超过 1 条数据记录与您的查询相匹配。由于您是按用户名查询，因此应该只有 1 个匹配行，对吗？在这种情况下，请改用 SingleOrDefault。当有多行匹配查询时，SingleOrDefault会抛出异常。

2. 要获取用户名，请使用 User.Identity.Name 而不是调用 Membership.GetUser().UserName。 MVC Controller 上的 User 属性引用一个 IPrincipal，它应该与用户的表单例份验证 cookie 值相匹配。由于您有一个自定义成员资格提供程序，这应该有助于消除其方法作为问题的根源。

3. 如果您为 MVC 项目设置了缓存，则可能会出现缓存问题。您是否在任何 Controller 或操作方法上使用了 OutputCacheAttribute ([OutputCache])？您是否在 global.asax 文件中将其设置为全局过滤器？还是您认为可能存在某种基于 SQL 的缓存？

4. 查看您重写的 GetUser 方法，我发现它应该采用 2 个参数:string username 和 bool isOnline。但是，当您使用 Membership.GetUser().UserName 调用它时，您没有传递任何参数。您是否有另一个不带参数的此方法的覆盖重载？它是什么样子的？它是否使用 System.Threading.CurrentPrincipal.Identity.Name 在未传递任何用户名时嗅探出当前用户名？