パスワードの有効期限ポリシーを使用したい。ウェブサイトにログインしたいユーザーのために、ログイン制御の認証イベントでパスワードを確認することができます。しかし、すでにログインしていて、ログインページにキャッシュされないユーザーはどうでしょうか。この質問HttpApplication.PostAuthenticateRequestでは、適切なアプローチではないイベントを処理することをお勧めします。
session_start()イベントの取り扱いを考えています。ユーザーごとにこれが1回発生し、ユーザーのパスワードが最新かどうかを確認できます。しかし、すでにログインしているユーザーが数日後にサイトにアクセスしたかどうかはわかりませんが、このイベントが発生するかどうかはわかりません。
パスワードの有効期限が切れたという理由だけでユーザーをログアウトしてもよろしいですか?ログオンCookieの有効期限とパスワードの有効期限は別々の懸念事項です。
ログインCookieが自動的に期限切れになり、次回のログオン時にユーザーにパスワードの変更を強制するまで、ログインCookieを維持することに何の問題もありません。有効期限が長すぎるCookieを発行しないように注意してください。遅かれ早かれ、すべてのユーザーが再ログインする必要があります。そして、これは、パスワードの有効期限が切れる可能性がある場所です。
また、各リクエストの有効期限をチェックすることは(PostAuthenticateであるかPreHandlerExecuteであるかは関係ありません)不可能である可能性があることにも注意してください。サイトが外部認証ソースに依存している場合、そこにアクセスしてパスワードの有効期限を確認することはできません。パスワードの有効期限が切れているかどうかをGoogleまたはFacebook(ユーザーがそこで認証する場合)に尋ねると想像してみてください。それは簡単には不可能です(またはまったく不可能です)。