Тайм-аут аутентификации форм против сеанса

На моем сайте asp.net я использую аутентификацию формы asp.net со следующей конфигурацией

<authentication mode="Forms">
    <forms loginUrl="~/Pages/Common/Login.aspx"
           defaultUrl="~/Pages/index.aspx"
           protection="All"
           timeout="30"
           name="MyAuthCookie"
           path="/"
           requireSSL="false"
           cookieless="UseDeviceProfile"
           enableCrossAppRedirects="false" >
    </forms>
</authentication>

У меня есть следующие вопросы

  • Какое должно быть значение тайм-аута для сеанса, потому что я использую скользящее завершение внутри аутентификации формы, из-за которого истекает срок действия сеанса до аутентификации формы. Как я могу защитить его?

  • После выхода из формы проверки подлинности я хотел бы перенаправить страницу на logout.aspx, но она автоматически перенаправляет меня на loginpage.aspx. Как это возможно?

ОТВЕТЫ

Ответ 1

  • Чтобы быть в безопасности: TimeOut (Session) <= TimeOut (FormsAuthentication) * 2
  • Если вы хотите показывать страницу, отличную от указанной в атрибуте loginUrl после истечения времени ожидания аутентификации, вам необходимо обработать это вручную, поскольку ASP.NET не предоставляет способ сделать это.

Чтобы достичь # 2, вы можете вручную проверить файл cookie и его AuthenticationTicket для истечения срока действия и перенаправить на свою страницу, если они истекли.
Вы можете сделать это в одном из событий: AcquireRequestState, AuthenticateRequest.

Пример кода в событии может выглядеть так:

// Retrieve AuthenticationCookie
var cookie = Request.Cookies[FormsAuthentication.FormsCookieName];
if (cookie == null) return;
FormsAuthenticationTicket ticket = null;
try {
    ticket = FormsAuthentication.Decrypt(cookie.Value);
} catch (Exception decryptError) {
    // Handle properly
}
if (ticket == null) return; // Not authorised
if (ticket.Expiration > DateTime.Now) {
    Response.Redirect("SessionExpiredPage.aspx"); // Or do other stuff here
}

Ответ 2

Для сайтов, имеющих зависимость от сеанса, вы можете просто вывести из устаревшей аутентификации событие начала сеанса в global.asax:

void Session_Start(object sender, EventArgs e)
{
  if (HttpContext.Current.Request.IsAuthenticated)
  {

    //old authentication, kill it
    FormsAuthentication.SignOut();
    //or use Response.Redirect to go to a different page
    FormsAuthentication.RedirectToLoginPage("Session=Expired");
    HttpContext.Current.Response.End();
  }

}

Это делает так, что новый сеанс = новая аутентификация, период.