Wie lange dauert eine session-cookie dauern?Wann sollte ich eine erneute Authentifizierung

Wie lange kann ich mit einer Sitzung-nur cookie?Ich habe eine client-Anwendung, wo ich authentifiziert, um eine SharePoint-Website, und ich bin mit den cookies für die Navigation durch die Unterseiten. Ich bin speichern der cookie und die Wiederverwendung der Header anmelden, um die Website zu einem späteren Zeitpunkt ohne Authentifizierung wieder.Es ist kein Ablaufdatum festgelegt.Wie lange wird der cookie dauern und Wann sollte ich mich authentifizieren wieder zurück?

InformationsquelleAutor rogerstone | 2013-03-22
  1. 8

    Ablauf des session-cookies variiert von browser zu browser. Ich war nicht in der Lage zu finden, jede Art von Referenz, die den aktuellen Besonderheiten pro browser. Es verwendet zu sein, dass session-cookies gelöscht, wenn der browser geschlossen wurde, aber einige Browser haben Einstellungen, die, wenn aktiviert, führt dazu, dass session-cookies beibehalten Vergangenheit der browser geschlossen wird. Zum Beispiel, Firefox ist die Option "Wenn Firefox gestartet wird: Show my windows and tabs from last time" wird dazu führen, dass dies passieren wird, etwas überraschend. Das gleiche gilt für "Auf starten: Fortsetzen, wo ich aufgehört habe" in Chrome.

    Ich interessiere mich nicht wirklich für SharePoint, so dass ich haven ' T verwendet es eine Weile, aber wie ich mich erinnere verwendet ASP.Net die Formularauthentifizierung verwendet wird, ziehen Sie die Konfiguration in der web.config genauso wie alle anderen ASP.Net Website. Dass gesagt wird, du bist nicht wirklich besorgt mit den timeout von deinem cookie. Was Sie über Pflege ist das timeout des Servers-side-session-token - das ist zu sagen, wie lange die Daten in den besagten cookie wird vom server erkannt. Das wird durch die timeout-Eigenschaft der forms-tag von web.config-Datei für eine ASP.Net app:

    <system.web>
    <!-- ... -->
    <authentication mode="Forms">
        <forms timeout="2880" />
    </authentication>
    <!-- ... -->
</system.web>
    • Danke für die Antwort.Leider bin ich nicht in der Lage, dies zu überprüfen im moment.Von Ihnen positiv bewertet werden
    • Ich war so verwirrt, warum mein session-cookies wurden nie gelöscht, in Chrome. Es ist, weil Ihre Antwort: "beim Start: dort Fortfahren, wo ich aufgehört habe". Macht Sinn, jetzt, danke!
    InformationsquelleAutor Grinn
  2. 0

    Wenn es nicht ablaufen, es wird herum, bis der browser wird getötet. Normalerweise in ASP.Net die session-cookies werden gesetzt, mit einem timeout von 20 Minuten. Das ist in der Regel ziemlich gut. Je nach app, möchten Sie vielleicht einen javascript-timer sowie. Ansonsten ist der browser nicht zu verstehen, wenn es abgemeldet, bis eine Aktualisierung der Seite passiert und sensible Daten ausgesetzt werden können. Du wirst sehen, diese Umsetzung auf allen online-banking-Website.

    (Edit zur Klärung von downvote)
    Session-cookies machen, in der Tat, bleiben Sie, bis der browser geschlossen wird. Sie können schauen Sie hier: http://www.allaboutcookies.org/cookies/cookies-the-same.html

    Die obige Antwort ist auch richtig, dass einige neuere Browser wiederherstellen, session-cookies, nach einem Absturz/schließen.

    @Grinn, du bringst einen guten Punkt in der Lage das Ticket. Bei der Verwendung von ASP.Net Forms-auth, eine verschlüsselte Ticket ist innerhalb der session-cookie. Sie cookie kann immer noch an Ort und Stelle so weit wie browser angeht, aber wenn der Zeitstempel innerhalb der ticket abgelaufen ist, wird es als ungültig betrachtet werden.

    Wenn Sie mit einem gewissen Anschein von Forms-auth mit Sharepoint, sollte man vielleicht einfach schreiben Sie Ihre eigenen membership-provider, der kann das knacken das Ticket im cookie, aber ignorieren, wenn der Zeitstempel abgelaufen ist. Erstellen Von Benutzerdefinierten Mitgliedschaftsanbieter

    • Ich bin Authentifizierung an den share-point-Website von meinem client-Anwendung.Ich habe den gleichen cookie verwenden die ganze Zeit, ohne Authentifizierung wieder .Ich bin immer Konto gesperrt-Zeiten.Also meine Frage würde der server ein timeout für die Cookies??
    • Sehr wenig davon ist wahr. Session-cookies müssen in der Tat nicht hängen ewig, bis der browser wird getötet. Die Standard-forms authentication ticket timeout für ASP.Net ist 30 Minuten, das hat eigentlich keinen Einfluss auf den Ablauf von Sitzungs-cookies an alle - es ist nur so, dass der Wert der Session-cookie wird nicht als gültig angesehen werden, durch den server, wenn die Seite aktualisiert wird. Eine Aktualisierung der Seite, wenn eine session abgelaufen ist, kann in keiner Weise dazu führen, sensible Daten ausgesetzt werden.
    • Deine Antwort - /downvote verwirrend das Auth-cookie mit dem alten ASP-Session-cookies. Meine Antwort bezieht sich auf, wie der browser Session-cookies Verhalten sich, im Gegensatz zu permanenten cookies (mit Verfallsdatum). Dein Punkt über die Ticket-Ablauf, aber gut gemacht.
    InformationsquelleAutor goosemanjack
Schreibe einen Kommentar