by WebSurfer
2011年10月22日 16:31
Forms 認証でパスワードに有効期限を設定するにはどうしたらよいでしょうか?
有効期限を知るためのデータ(例えば、最初にアカウントを作成した日時またはパスワードを変更した日時)をデータベースに記録し、ユーザーがログインした際にそのデータを取得して期限が過ぎているか否かの判断をするという操作が必要です。
組み込みの機能にそのようなものはないと思っていましたが、よく調べてみたら、標準の Forms 認証用 SQL Server データベースの aspnet_Membership テーブルに LastPasswordChangedDate というフィールドがあり、それを取得するために MembershipUser.LastPasswordChangedDate プロパティ が用意されていました。
これを利用すれば、パスワードに有効期限を設け、ユーザーがログインする際に有効期限が過ぎていたら ChangePassword コントロール を表示して、ユーザーにパスワード変更を促すというような操作が簡単に可能になります。
以下のコードは、パスワードの有効期限を 90 日とし、ユーザーがログインする際に 90 日を過ぎていたら Login コンロトールを非表示にするとともに ChangePassword コントロールを表示し(上の画像がそれです)、パスワードを変更したら Login コンロトールを再度表示して新しいパスワードでログインするというシナリオになっています。
<%@ Page Language="C#" %>
<%@ Import Namespace="System.Web.Security" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
double expireDays = 90;
protected void Login1_LoggingIn(object sender,
LoginCancelEventArgs e)
{
MembershipUser user =
Membership.GetUser(Login1.UserName);
if (user == null)
{
// MembershipUser が取得できなければその後の
// 処置は Login コントロールに任せる。
return;
}
if (user.LastPasswordChangedDate.AddDays(expireDays) <
DateTime.Now)
{
Msg.Visible = true;
Msg.Text = "パスワードが有効期限を過ぎています。";
ChangePassword1.UserName = Login1.UserName;
ChangePasswordPanel.Visible = true;
LoginPanel.Visible = false;
e.Cancel = true;
}
else
{
Msg.Visible = false;
}
}
protected void _ChangingPassword(object sender,
LoginCancelEventArgs e)
{
if (ChangePassword1.CurrentPassword ==
ChangePassword1.NewPassword)
{
Msg.Visible = true;
Msg.Text = "新旧パスワードが同じです。";
e.Cancel = true;
}
else
{
Msg.Visible = false;
}
}
protected void _ChangedPassword(object sender, EventArgs e)
{
ChangePasswordPanel.Visible = false;
LoginPanel.Visible = true;
Msg.Visible = true;
Msg.Text = "新しいパスワードでログインしてください。";
}
</script>
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<title>Login</title>
</head>
<body>
<form id="form1" runat="server">
<h3>有効期限つきパスワードでのログイン操作</h3>
<asp:Label id="Msg"
runat="server"
ForeColor="maroon"
Visible="False" />
<br />
<asp:Panel ID="LoginPanel"
runat="server">
<asp:Login ID="Login1"
runat="server"
DisplayRememberMe="False"
OnLoggingIn="Login1_LoggingIn">
</asp:Login>
</asp:Panel>
<asp:Panel ID="ChangePasswordPanel"
runat="server"
Visible="False">
<asp:ChangePassword ID="ChangePassword1"
runat="server"
DisplayUserName="True"
OnChangingPassword="_ChangingPassword"
OnChangedPassword="_ChangedPassword"
CancelDestinationPageUrl="~/Default.aspx">
</asp:ChangePassword>
</asp:Panel>
</form>
</body>
</html>
参考にしたのは MembershipUser.LastPasswordChangedDate プロパティ と ChangePassword.CurrentPassword プロパティ のサンプルコードです。