ASP.Net FormsAuthentication-Redirect Verliert das cookie zwischen Redirect und Application_AuthenticateRequest
Habe ich ein FormsAuthentication cookie, der ist hartnäckig und arbeitet selbstständig in einer Entwicklungs -, test-und Produktionsumgebung. Ich habe einen Benutzer authentifizieren kann, das user-Objekt erstellt wird, wird der Authentifizierungs-cookie wird Hinzugefügt, um die Reaktion:
'Custom object to grab the TLD from the url
authCookie.Domain = myTicketModule.GetTopLevelDomain(Request.ServerVariables("HTTP_HOST"))
FormsAuthentication.SetAuthCookie(authTicket.Name, False)
Response.SetCookie(authCookie)Erhält der Benutzer bearbeitet ein wenig zu schauen, ob es zum ersten mal anmelden, Sicherheit, Fragen, etc, und ist dann Weiterleitung mit den folgenden Leckerbissen:
Session.Add("ForceRedirect", "/FirstTimeLogin.aspx")
Response.Redirect("~/FirstTimeLogin.aspx", True)Mit einer debug-Pause, ich kann stellen Sie sicher, dass die cookie-Sammlung enthält sowohl ein cookie nicht im Zusammenhang mit Authentifizierung, den ich für einen anderen Zweck, und die formsauthentication cookie. Dann ist der nächste Schritt in dem Prozess tritt auf der ApplicationAuthenticateRequest in der globalen.asax:
Sub Application_AuthenticateRequest(ByVal sender As Object, ByVal e As EventArgs)
Dim formsCookieName As String = myConfigurationManager.AppSettings("FormsCookieName")
Dim authCookie As HttpCookie = Request.Cookies(formsCookieName) Zu diesem Zeitpunkt für diesen Benutzer authCookie ist nichts. Ich habe mit 15.000 anderen Benutzer sind nicht betroffen, die in dieser Art und Weise. Jedoch für den ein Benutzer das cookie einfach verschwindet, ohne eine Spur zu hinterlassen. Ich habe gesehen, das vor mit w3wp.exe Ausnahmen, state server-Ausnahmen und andere IIS-Prozess im Zusammenhang Ausnahmen, aber ich bekomme keine Ausnahmen in das Ereignisprotokoll. w3wp.exe ist nicht der Absturz, den state-server hat einige timeouts, aber Sie erscheinen nicht (wie verified by Zeitstempel) und es passiert nur auf diesem einen Benutzer auf dieser domain (dieser code ist in 2 verschiedenen TLDs mit etwa 10 anderen subdomains).
Einer Allee bin ich der Untersuchung ist, dass das cookie könnte einfach zu groß. Ich würde denken, dass es wäre eine Prüfung für die Größe der cookie-geht in die Reaktion, und ich würde denken, es würde Auswirkungen es auf diese Weise. Irgendwelche Ideen, warum die Anfrage möglicherweise dumping-cookie?
ANMERKUNG: Das sekundäre cookie habe ich erwähnt, dass ich das set auch bekommt, deponiert (und es ist sehr winzig).
BEARBEITEN-ANMERKUNG: Die session-token NICHT verloren, wenn dies geschieht. Da jedoch die Authentifizierung cookie ist verloren, es wird ignoriert und ersetzt bei einem späteren login.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Es stellt sich heraus, dass die cookie-Daten gedumpt in der cookie für diesen bestimmten Benutzer passiert ist, überschreitet die maximal zulässige Größe in seiner verschlüsselten format. Unverschlüsselt, die Daten passen, aber sobald die Verschlüsselung ausgeführt wurde es von der Größe wuchs zu groß, um zu behandeln. Dies verursacht den cookie und cookies Hinzugefügt, nachdem es fiel aus der response-header.
Hacken die Menge der Daten, die injiziert in das cookie das Problem gelöst.
Ein mögliches Problem ist die Art und Weise, die Sie umleiten; durch die Einstellung der boolean-Wert auf true senden Sie eine ThreadAbortException-und Sie verlieren möglicherweise die session-token. Entweder den booleschen Wert auf
falseoder verwenden SieFormsAuthentication.RedirectFromLoginPageendResponsezeigt an, ob die Ausführung der aktuellen Seite beendet werden soll, also auf false setzen, ist die Art und Weise zu vermeiden, dieThreadAbordException. Mit dieser sagte, ich fürchte, ich kann nicht wirklich helfen. Haben Sie sich bei der Veränderung des Verfallsdatum?