L'Authentification par formulaires Délai vs d'expiration de la Session

Dans mon asp.net site, je suis en utilisant asp.net formulaire d'authentification avec la configuration suivante

<authentication mode="Forms">
    <forms loginUrl="~/Pages/Common/Login.aspx"
           defaultUrl="~/Pages/index.aspx"
           protection="All"
           timeout="30"
           name="MyAuthCookie"
           path="/"
           requireSSL="false"
           cookieless="UseDeviceProfile"
           enableCrossAppRedirects="false" >
    </forms>
</authentication>

J'ai des questions suivantes

  1. Ce que devrait être la valeur de délai d'expiration de session, car je suis à l'aide de glissement expiration forme à l'intérieur authention en raison de la session expirera avant la fin de formulaire d'authentification. Comment puis-je protéger?

  2. Après formauthentication journal, je voudrais rediriger la page de déconnexion.aspx, mais il est automatiquement rediriger moi à loginpage.aspx. Comment est-il possible?

InformationsquelleAutor Hemant Kothiyal | 2009-09-24
  1. 50
    1. Pour être sur le côté sécuritaire: Délai d'attente de Session(Session) <= Délai d'attente(FormsAuthentication) * 2
    2. Si vous souhaitez afficher une page autre que celle qui est spécifiée dans l'attribut loginUrl après l'authentification délai d'attente, vous devez gérer manuellement comme ASP.NET ne fournit pas un moyen de le faire.

    Pour atteindre #2 vous pouvez vérifier manuellement le cookie et sa AuthenticationTicket pour la date d'expiration et les rediriger vers votre page personnalisée si ils ont expiré.

    Vous pouvez le faire dans l'un des événements: AcquireRequestState, AuthenticateRequest.

    Exemple de code dans l'événement peut ressembler à:

    //Retrieve AuthenticationCookie
var cookie = Request.Cookies[FormsAuthentication.FormsCookieName];
if (cookie == null) return;
FormsAuthenticationTicket ticket = null;
try {
    ticket = FormsAuthentication.Decrypt(cookie.Value);
} catch (Exception decryptError) {
    //Handle properly
}
if (ticket == null) return; //Not authorised
if (ticket.Expiration > DateTime.Now) {
    Response.Redirect("SessionExpiredPage.aspx"); //Or do other stuff here
}
    • Grâce Dmitriy, Ma deuxième question: Comme écrit ci-dessus à l'intérieur <Form ...> que page par défaut est "index.aspx" et login est "login".aspx". Après la connexion à ma page de tableau de bord lorsque je reste idéal pour 30 minutes (délai d'attente) et après que je clique sur un lien je vais rediriger automatiquement vers la page de connexion avec l'URL suivante localhost:/virtualdir/Pages/... Mais ici, je voudrais rediriger la page à la page de déconnexion où je peux dire que certains de déconnexion de l'information
    • Pouvez-vous me montrer l'exemple parce que dans mon cas je prends scénario où j'ai mis formauthentication timeout= 2 minutes alors que d'expiration de la session= 6 minutes et au bout de 3 minutes quand je clique sur le lien Il n'est pas déboguer n'importe où, même pas du "AcquireRequestState" s'il vous Plaît aider?
    • Upp. Désolé, le délai d'attente pour le FormsAuthentication devrait être deux fois plus longue que la Séance un seul. Corrigé cela. AcquireRequestState et AuthenticateRequest doit toujours être déclenché (n'importe quoi). Assurez-vous que vous avez bien souscrit à ces événements sur la classe HttpApplication.
    • Merci, Pouvez-vous effacer un autre doute. J'ai de la confusion que si j'ai mis en glissement expiration=true dans "Formauthentication" puis faire glisser l'expiration des œuvres d'expiration de la session aussi ou pas? Ne coulissantes expiration de travaux pour la session de temps?
    • FormsAuthentication d'expiration (dans l'absolu ou coulissantes) n'est pas liée à la fin de la Session en aucune façon. La Session n'a pas d'expiration absolue et toujours expire "glissant" façon.
    • Êtes-vous sûr que vous voulez avoir de la Session.Délai d'attente < FormsAuthentication.Délai * 2? Cela signifie que la Session ne peut être abandonnée alors que l'utilisateur est toujours connecté. N'importe où que les références des variables de Session va commencer à avoir des exception nullreferenceexceptions.
    • C'est la condition ticket.Expiration > DateTime.Now correct? Je pense qu'elle doit être dans l'autre sens autour de sorte que la redirection se produit lorsque la Dateheure actuelle est supérieure à l'authentification de formulaires d'expiration du ticket.
    • D'accord avec Dominique " le point. Avoir des formes auth persistent tout en compensation de la session a un motif valable (c'est sans doute la façon dont la plupart des applications voulez aller). Cependant, j'ai une (secure mobile web app où je voulais juste le contraire, et l'utilisation fréquente des formes auth comme une identité défi. Je voudrais répondre à inclure une justification ou d'un exemple à l'appui de l'expiration modèle que vous avez suggéré.
    • J'étais confus à laisser les formes auth expire au plus tard à la session. Cela ne fait pas de sens pour moi, mais c'est un autre appui blog d'accord. Il y a également un lien vers un article de MSDN essayer de ré-appliquer la solution. itworksonmymachine.wordpress.com/2008/07/17/... support.microsoft.com/kb/910439
    • Pour quiconque de tomber sur cette question, reportez-vous à cette documentation à partir de MS - elle a vraiment de bons détails concernant FormsAuthentication paramètres de Délai d'expiration docs.microsoft.com/en-us/aspnet/web-forms/overview/...
    • ASP.NET MVC événement ? Je veux pas expire jamais el auth cookie, seulement dans Déconnexion - déconnecter ?

    InformationsquelleAutor Dmytrii Nagirniak
  2. 24

    Pour les sites qui ont une session de dépendance, vous pouvez simplement le signe d'un état de l'authentification avec le début de la session de l'événement dans le monde.asax:

    void Session_Start(object sender, EventArgs e)
{
  if (HttpContext.Current.Request.IsAuthenticated)
  {

    //old authentication, kill it
    FormsAuthentication.SignOut();
    //or use Response.Redirect to go to a different page
    FormsAuthentication.RedirectToLoginPage("Session=Expired");
    HttpContext.Current.Response.End();
  }

}

    Ce qu'il fait en sorte que la nouvelle session = new authentification, période.

    • Il semble énergique, mais a été une bonne option pour nous, où la session en place est essentiel pour le moment.
    • Je ne suis pas sûr que je l'appellerais énergique. Simplement, il épouse la session d'authentification membres. Bien sûr, une option plus robuste serait de restaurer la session du jeton d'authentification. Mais si la session de restauration a été un coup (c'est à dire se répandre sur la place), la solution la plus simple est d'obtenir à l'utilisateur de retourner sur un chemin d'accès (connexion).
    • Certes, c'est le chemin que nous avons pris jusqu'à ce que nous pouvons faire des séances de recréer eux-mêmes à la volée.
    InformationsquelleAutor b_levitt