Zeitlimit für Formularauthentifizierung im Vergleich zum Zeitlimit für Sitzungsstatus
Habe ich code, ich bin auf der Suche durch Bezug auf session-time-outs der website. In der web.config stieß ich auf diesen code.
<authentication mode="Forms">
<forms loginUrl="~/Auth/SignOn.aspx" timeout="40" slidingExpiration="true" />
</authentication>
<sessionState timeout="30" />Weiß jemand, ob man den Vorrang über die anderen, und wie Sie sich unterscheiden. Danke.
Kommentar zu dem Problem
Mögliche Duplikate von Forms Authentication Timeout vs Session-Timeout
InformationsquelleAutor der Frage Lucky Luke2 | 2013-07-23
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.
Sie sind verschiedene Dinge. Die Forms-Authentication Timeout value legt die Zeit in Minuten, die der Authentifizierungs-cookie gesetzt werden, um gültig zu sein, was bedeutet, dass nach
valueAnzahl der Minuten, verfällt das cookie, und der Benutzer wird nicht mehr authentifiziert werden, Sie werden dann weitergeleitet auf die login-Seite automatisch. DieslidingExpiration=trueWert ist im Grunde sagen, dass nach jeder Anfrage aus, wird der timer zurückgesetzt und solange der Benutzer stellt eine Anfrage innerhalb des timeout-Wert, wird Sie weiter authentifiziert werden. Wenn SieslidingExpiration=falsedas Authentifizierungs-cookie verfällt nachvalueAnzahl der Minuten ein, unabhängig davon, ob der Benutzer eine Anfrage innerhalb des timeout-Wert hat oder nicht.Den
SessionStatetimeout-Wert bestimmt die Zeitspanne, die ein Session-State-provider ist erforderlich, um das halten der Daten im Speicher (oder was auch immer sicherungsspeicher verwendet wird, SQL Server, OutOfProc, etc.) für eine bestimmte Sitzung. Zum Beispiel, wenn Sie ein Objekt in der Session mit dem Wert in deinem Beispiel werden diese Daten entfernt, nach 30 Minuten. Der Benutzer kann immer noch authentifiziert werden, aber die Daten in der Session nicht mehr vorhanden sein. DieSession TimeoutWert ist immer reset nach jeder Anfrage.InformationsquelleAutor der Antwort Icarus
Von dem, was ich verstehe, Sie sind unabhängig von einander. Halten Sie den session-timeout kleiner als oder gleich dem Zeitlimit für Authentifizierung, können Sie sicherstellen, dass alle user-spezifische session-Variablen werden nicht beibehalten, nachdem die Authentifizierung abgelaufen ist (wenn das ist Ihre Sorge, was ich denke, ist das normal, wenn diese Frage zu stellen). Natürlich müssen Sie manuell behandeln die Entsorgung von session-Variablen auf log-out.
Hier ist eine anständige Antwort, die Antwort auf Ihre Frage oder zumindest zeigen Sie in die richtige Richtung:
InformationsquelleAutor der Antwort Lopsided
Dies ist nicht korrekt. Das Authentifizierungs-cookie-timeout wird nur dann zurückgesetzt werden, wenn die Hälfte der Zeit der timeout verstrichen ist.
Siehe zum Beispiel https://support.microsoft.com/de-ch/kb/910439/en-us oder https://itworksonmymachine.wordpress.com/2008/07/17/forms-authentication-timeout-vs-session-timeout/
InformationsquelleAutor der Antwort Silvan Hofer
Der Unterschied ist, dass man (Forms timeout) hat zu tun mit der Authentifizierung der Benutzer und den anderen (Session-timeout) damit zu tun, wie lange zwischengespeicherte Daten werden auf dem server gespeichert. Also Sie sind sehr unabhängig, die Dinge, so man nicht Vorrang vor den anderen.
InformationsquelleAutor der Antwort Karl Anderson
Dieser Konfiguration sendet mich auf die login-Seite wird alle zwei Minuten, das scheint anfechten die früheren Antworten
InformationsquelleAutor der Antwort shlasasha