D'expiration de la Session d'Alerte en ASP.NET

J'ai un asp.net site que j'ai besoin d'avoir un popup/couche/alerte se produire lors de la session atteint son délai d'attente (disons 10 minutes). Le menu contextuel vous dire que votre session de compte sera exprire en raison de l'inactivité et d'avoir un bouton pour continuer la séance ou un bouton pour vous déconnecter.

Je voir les différentes façons de le faire en ligne, mais quel est le meilleur/la bonne façon de gérer cela? Dois-je mettre un délai supplémentaire si le popup est ouverte trop longtemps?

OriginalL'auteur cdub | 2012-05-09

  1. 22

    Vérifier cet article , il contient tout ce dont vous avez besoin pour votre condition

    Alerte de Temps de Session dans ASP.NET

    <script language="javascript" type="text/javascript">
       var sessionTimeoutWarning = 
    "<%= System.Configuration.ConfigurationSettings.AppSettings
    ["SessionWarning"].ToString()%>";
        var sessionTimeout = "<%= Session.Timeout %>";

        var sTimeout = parseInt(sessionTimeoutWarning) * 60 * 1000;
        setTimeout('SessionWarning()', sTimeout);

        function SessionWarning() {
var message = "Your session will expire in another " + 
    (parseInt(sessionTimeout) - parseInt(sessionTimeoutWarning)) + 
    " mins! Please Save the data before the session expires";
alert(message);
        }
</script>
    ouais j'ai été à la recherche à celui-ci, je me demandais juste quelle est la "bonne façon"
    cela fonctionne assez bien, thx
    J'ai ajouté <sessionState mode="StateServer" cookieless="false" timeout="180"></sessionState> dans mon Web.fichier de configuration. Comment puis-je attribuer le var sessionTimeoutWarnin?
    La mise en œuvre de ce type de code côté client est possible d'ouvrir une faille de sécurité de la question ?
    mon QSA région nous encourage à nous (équipe de développement) pour éviter d'utiliser du Javascript ou un script côté client pour effectuer des opérations. Nos applications web sont en partie d'une banque de cœur, doit répondre à une forte cycles de test. Ma préoccupation est, par exemple, si un atacker pouvez modifier ou d'injecter du code malveillant dans un script client et d'étendre arbitraire de la session. "<%=" une vulnérabilité potentielle.

    OriginalL'auteur Pranay Rana

  2. 4

    Cette question a été traitée avant, par exemple
    ASP.NET - Javascript délai d'Alerte basé sur sessionState délai d'attente dans le web.config

    Cependant, autant que je sache, il n'est pas totalement un moyen fiable pour ce faire, depuis:

    • Si l'utilisateur a plus d'une fenêtre ouverte à l'aide de la même session, une fenêtre peut être plus récente que les autres, et le client, délais d'expiration de session sur la plus ancienne fenêtre serait vicié /incorrect.
    • Si vous effectuez un aller-retour vers le serveur pour voir ce que la session en cours, la date d'expiration est, vous permettra de prolonger, pour ainsi vaincre le but de la popup /alerte.
    Pouvez-vous s'il vous plaît dites-moi, comment alerter l'utilisateur d'expiration de la session en MVC 4? Aussi je ne suis pas à l'aide de l'authentification par formulaires. Est-il possible sans l'authentification de formulaires?

    OriginalL'auteur StuartLC

  3. 1

    Ci-dessous est une partie du code JavaScript avec jQuery pour avertir l'utilisateur sur ASP.NET l'Authentification par Formulaires délai d'attente et de les rediriger vers la page de connexion si le délai est atteint. Il pourrait être amélioré et adapté d'expiration de la session. Il permet également de réinitialiser le délai d'authentification par "ping le serveur lorsque l'utilisateur interagit avec la page en cliquant sur, en tapant ou le redimensionnement.

    Noter que ce n'est ajouter de la charge pour le serveur en envoyant une requête ping à chaque clic, les clés de la presse, redimensionner, mais c'est assez minime. Néanmoins, si vous avez beaucoup d'utilisateurs taper loin, vous aurez besoin d'évaluer l'impact. Je ne pouvais pas penser à une autre façon de faire cela parce que le serveur doit être impliqués puisque c'est là où le délai expire.

    Également noter que le délai d'attente n'est pas codé en dur dans le JS. C'est le délai d'attente du serveur si vous avez seulement besoin de le maintenir dans un endroit dans le Web.config.

    (function ($, undefined) {
if (!window.session) {
window.session = {
monitorAuthenticationTimeout: function (redirectUrl, pingUrl, warningDuration, cushion) {
//If params not specified, use defaults.
redirectUrl = redirectUrl || "~/Account/Login";
pingUrl = pingUrl || "~/Account/Ping";
warningDuration = warningDuration || 45000;
cushion = cushion || 4000;
var timeoutStartTime,
timeout,
timer,
popup,
countdown,
pinging;
var updateCountDown = function () {
var secondsRemaining = Math.floor((timeout - ((new Date()).getTime() - timeoutStartTime)) / 1000),
min = Math.floor(secondsRemaining / 60),
sec = secondsRemaining % 60;
countdown.text((min > 0 ? min + ":" : "") + (sec < 10 ? "0" + sec : sec));
//If timeout hasn't expired, continue countdown.
if (secondsRemaining > 0) {
timer = window.setTimeout(updateCountDown, 1000);
}
//Else redirect to login.
else {
window.location = redirectUrl;
}
};
var showWarning = function () {
if (!popup) {
popup = $(
"<div style=\"text-align:center; padding:2em; color: black; font-color: black; background-color:white; border:2px solid red; position:absolute; left: 50%; top:50%; width:300px; height:120px; margin-left:-150px; margin-top:-90px\">" +
"<span style=\"font-size:1.4em; font-weight:bold;\">INACTIVITY ALERT!</span><br/><br/>" +
"You will be automatically logged off.<br/><br/>" +
"<span style=\"font-size:1.4em; font-weight:bold;\" id=\"countDown\"></span><br/><br/>" +
"Click anywhere on the page to continue working." +
"</div>")
.appendTo($("body"));
countdown = popup.find("#countDown");
}
popup.show();
updateCountDown();
};
var resetTimeout = function () {
//Reset timeout by "pinging" server.
if (!pinging) {
pinging = true;
var pingTime = (new Date()).getTime();
$.ajax({
type: "GET",
dataType: "json",
url: pingUrl,
}).success(function (result) {
//Stop countdown.
window.clearTimeout(timer);
if (popup) {
popup.hide();
}
//Subract time it took to do the ping from
//the returned timeout and a little bit of 
//cushion so that client will be logged out 
//just before timeout has expired.
timeoutStartTime = (new Date()).getTime();
timeout = result.timeout - (timeoutStartTime - pingTime) - cushion;
//Start warning timer.
timer = window.setTimeout(showWarning, timeout - warningDuration);
pinging = false;
});
}
};
//If user interacts with browser, reset timeout.
$(document).on("mousedown mouseup keydown keyup", "", resetTimeout);
$(window).resize(resetTimeout);
//Start fresh by reseting timeout.
resetTimeout();
},
};
}
})(jQuery);

    Il suffit de téléphoner au-dessus une fois lors de votre chargement de la page:

    window.session.monitorAuthenticationTimeout(
"/Account/Login",    //You could also use "@FormsAuthentication.LoginUrl" in Razor.
"/Account/Ping");

    Sur le serveur, vous aurez besoin d'une action qui renvoie le reste du temps. Vous pouvez ajouter plus d'informations.

        public JsonResult Ping()
{
return Json(new { 
timeout = FormsAuthentication.Timeout.TotalMilliseconds 
}, 
JsonRequestBehavior.AllowGet);
}

    OriginalL'auteur moomoo

  4. 0

    Vous aurez à utiliser côté client de la technologie pour ici (javascript). En utilisant, par exemple, vous utilisez javascript timeout installation et ensuite afficher l'avertissement. Si l'utilisateur clique sur ok, vous pouvez avoir besoin de faire quelque chose pour la garder active. Je suggérons à l'aide de jquery.ajax méthode, et en faisant un appel vers le serveur, peut être un mannequin appelez simplement pour garder la session vivant.

    OriginalL'auteur Joseph Caruana

  5. 0

    Vous pourriez vous jquery et la fonction setinterval pour faire une requête Ajax poste, derrière les coulisses pour actualiser le délai d'attente, si l'utilisation de glissement d'expiration, ou d'obtenir la valeur du temps remaing par l'enregistrement de la session, l'heure de début et la soustraction à partir de la date d'expiration.

    OriginalL'auteur Chev

  6. 0

    ce que vous pouvez faire est d'utiliser un peu de javascript pour feu le message. Utilisez une minuterie pour le sapin après une certaine période (période prévue pour la session de temps dans votre application - un couple de minutes) Après cette période, de donner un message de confirmation de la boîte à l'utilisateur que la session expire. Si l'utilisateur clique pour garder la session. Faire un mannequin de publication dans la page de sorte que la session n'est pas perdu. Vous pouvez également effectuer un appel en arrière de sorte que l'utilisateur n'a pas fait face à un flash dans la page.

    OriginalL'auteur UTHIRASAMY

  7. 0

    Je suis allé voir l'article de la post de Pranay Rana, et j'aime l'idée générale, mais le code pourrait utiliser une certaine rationalisation. Voici donc ma version. Pour tablette /mobile questions, voir ci-dessous:

    <script language="javascript" type="text/javascript">
var minutesForWarning = 4;
var sessionTimeout = parseInt("@Session.Timeout"); //razor syntax, otherwise use <%= Session.Timeout %>
var showWarning = true;
function SessionWarning() {
showWarning = false;
alert("Your session will expire in " + minutesForWarning + " mins! Please refresh page to continue working.");
//leave a second for redirection fct to be called if expired in the meantime
setTimeout(function () { showWarning = true; }, 1000);
}
function RedirectToWelcomePage() {
if (showWarning)
alert("Session expired. You will be redirected to welcome page.");
document.getElementById('logoutForm').submit();
//window.location = "../Welcome.aspx"; //alternatively use window.location to change page
}
setTimeout('SessionWarning()', (sessionTimeout - minutesForWarning) * 60 * 1000);
setTimeout('RedirectToWelcomePage()', sessionTimeout * 60 * 1000);
</script>

    Bien, sur les tablettes ou les mobiles, vous ne pouvez pas compter sur le setTimeout, comme l'exécution de javascript est suspendu lorsque l'appareil est verrouillé ou navigateur inactif. Au lieu de cela, je suis en train de faire un contrôle périodique (dans mon cas, j'ai de l'estime, de toutes les 10s pour être suffisamment):

    <script language="javascript" type="text/javascript">
function addMinutes(date, minutes) {
return new Date(date.getTime() + minutes * 60 * 1000);
}
function remainingMinutes(date) {
return Math.round((date - (new Date()).getTime()) / 60 / 1000);
}
var minutesForWarning = 5;
var sessionTimeout = parseInt("@Session.Timeout");
var showWarning = true;
var showRedirect = true;
var timeToWarn = addMinutes(new Date(), sessionTimeout - minutesForWarning);
var timeToEnd = addMinutes(new Date(), sessionTimeout);
function CheckTime() {
if (showWarning && new Date() > timeToWarn && new Date() < timeToEnd) {
showRedirect = false;
showWarning = false;
alert("Your session will expire in " + remainingMinutes(timeToEnd)) + " mins! Please refresh page to continue working.");
}
if (new Date() > timeToEnd) {
if (showRedirect)
alert("Session expired. You will be redirected to welcome page ");
document.getElementById('logoutForm').submit();
//window.location = "../Welcome.aspx"; //alternatively use window.location to change page
}
if (showRedirect == false)
showRedirect = true;
}
setInterval(CheckTime, 10000);
</script>

    OriginalL'auteur Damian Vogel