Form认证timeout无效问题

已于 2022-09-01 17:26:56 修改
阅读量5.6k 收藏 1
点赞数 1
分类专栏: .NET Web 文章标签: Form认证 timeout
于 2017-08-09 20:50:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leftfist/article/details/77016844
版权
.NET 同时被 2 个专栏收录
294 篇文章 3 订阅
订阅专栏
Web
159 篇文章 3 订阅
订阅专栏

web.config有如下设置:

    <authentication mode="Forms">
      <forms name=".GZFBCWeb" loginUrl="~/Admin/Auth/Login" timeout="1" defaultUrl="~/" cookieless="UseCookies" slidingExpiration="true" enableCrossAppRedirects="true" path="/"/>
    </authentication>

其中
timeout的单位是分钟,意即认证多少分钟后过期;
slidingExpiration=“true”,如果用户保持活跃,则重置timeout计时器,理论上,只要你永远活跃,则认证永不过期。

问题是,我登录之后,就此不动,过了1分钟后再去访问,仍旧没有退出,认证依然有效。

用浏览器调试,发觉cookie=.GZFBCWeb的过期时间为“Session”,意思是,这是一个会话cookie,只有浏览器关闭才失效。

为啥呢,timeout不起作用?

后来翻看代码,才知道是我代码的原因。登录成功后,没有采用默认的处理方式,而是自己生成了一个cookie,由于没有指定cookie的过期属性,造成该COOKIE是默认的会话生命周期。我原先代码是这样写的:

void Signin(LoginInfo sUT)
{//此函数在登录成功后调用
	System.Web.Security.FormsAuthenticationTicket tk = new FormsAuthenticationTicket(1,
			sUT.LoginName,
			DateTime.Now,
			DateTime.Now.AddMonths(1),
			true,
			"",
		   FormsAuthentication.FormsCookiePath
			);

	string key = FormsAuthentication.Encrypt(tk); //得到加密后的身份验证票字串 

	HttpCookie ck = new HttpCookie(FormsAuthentication.FormsCookieName, key);
	Response.Cookies.Add(ck);
}

又是票据又是加密,不明觉厉。
重点是最后两句,自己输出了一个cookie,使得web.config的设置完全失去效用。

后来改为:

void Signin(LoginInfo sUT)
{
	//注意最后一个参数一定要设置为true
	FormsAuthentication.SetAuthCookie(sUT.LoginName, true);
}

问题解决。简简单单,何必另起炉灶,故弄玄虚。

==============================
由上面的设置,我这个FORM认证依赖于COOKIE“.GZFBCWeb”,只要将该COOKIE删除,系统立马就退出了。
这里写图片描述

左直拳
关注
专栏目录
关于 OpenIdConnect 认证启用 HTTPS 回调 RedirectUri 不生效问题
weixin_33901926的博客
06-04 1万+
在搭建 IdentityServer 服务端后,我们尝试使用了 OIDC(OpenID Connect) 的中间件来代替了原先的 Session 系统认证方式,起初采用的是 HTTP 协议,一切都没有什么问题,最近启用全站 HTTPS 后,发现登陆会跳转到 HTTP的页面, OpenID Connect 认证流程 第一步: 请求构造授权页 Request URL:https://sso...
Spring Security OAuth2.0认证授权 --- 基础篇
最新发布
shuai_h的博客
06-19 1017
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
jQuery.form.js插件不能解决连接超时(timeout)的原因分析及解决方法
10-21
jQuery.form.js是一个form插件,支持ajax表单提交和ajax文件上传。最近在使用jquery.form.js提交包含文件的表单时,当碰上网速较慢时,而我们又设置了timeout时我们的页面会死在这里,怎么回事呢,下面脚本之家小编给大家解答下
Form Authentication Time Out and Session time Out
riverlau的专栏
05-30 887
Are you using Forms authentication? Forms authentication uses it own value for timeout (30 min. by default). A forms authentication timeout will send the user to the  by Text-Enhance" id="_GPLITA_1
Forms Authentication timeout and Expiration
weixin_34138521的博客
06-22 394
本文不涉及session的timeoutForms Authentication里有两处涉及timeoutforms authentication ticket 与 forms authentication cookie 1. 设置 ticket 的 Expiration: var ticket = new FormsAuthenticationTicket( ...
设置Forms认证的cookie失效时间
maseccc的专栏
09-26 2073
永久性 Cookie 由所有使用同一个 Cookie 存储的应用程序共享,而且用户可以在客户端应用程序中打开文档。创建的永久性 Cookie 具有 30 分钟的默认超时值。通过在 Web.config 文件中的表单节点内添加或更新超时参数,可以更改此值。例如: 例:                    name=".MetaTagUser"               default
Forms authentication timeout vs sessionState timeout
weixin_34007906的博客
11-10 134
https://stackoverflow.com/questions/17812994/forms-authentication-timeout-vs-sessionstate-timeout They are different things. The Forms Authentication Timeout value sets the amount of time in minute...
SpringBoot设置Session失效时间
weixin_30245867的博客
04-05 5261
1 #Session超时时间设置,单位是秒,默认是30分钟 2 server.session.timeout=10 然而并没有什么用,因为SpringBoot在TomcatServletWebServerFactory代码中写了这个 1 private long getSessionTimeoutInMinutes() { 2 Duration...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3566
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
系统时间不对导致证书验证无法通过
xcw1234的博客
04-30 2483
(get_openssL_error:128): SSL_accept error, get openssL error: 3016997168:error:14089086:SSL routines:ssl3_get_client_certificate:certificate verify failed:s3_srvr.c:3276: 服务器的证书(及涉及到的其他证书)的有效验证时间需要包含当前时间。每个证书都有notBefore(不早于)和notAfter(不晚于)字段,当前时间必须落在这两者之间。
Asp.Net的Forms验证,解决Cookie和Seesion失效时间
logo616的专栏
05-13 1662
<br />  网站开发中用户验证一般采用Asp.Net的Forms验证,验证票据存储到Cookie的方式。 <br />    Session方式是将验证信息存储在内存中,如果你使用的虚拟主机给你分配很小的内存,实际上都是如此,那么session就会很快过期,要求你重新登录,如果用户正在填写信息,被要求重新登录,那愤怒的感觉可想而知。<br />   cookie是存储在用户的客户端的。但是也会碰到失效的问题,下面一一来了解。<br />    在ASP.NET Forms验证中,通常我们会使用ASP.
浅谈Asp.Net中涉及到的四个TimeOut属性
weixin_30247781的博客
05-20 297
超时分为服务端超时与客户端超时,任何的程序都可以作为客户端与服务端。所以对于程序中的超时,不能简单的做单方面的处理。因为很有可能产生超时的原因是两个方面(即服务端与客户端)造成的。 超时参数 配置位置 默认值 单位 C/S 描述 备注 executionTimeout Web.config ->httpRu...
关于asp.net Forms验证 FormsAuthenticationTicket
chaochao6078的专栏
11-23 1422
<br /> 下面大概的看一下Forms的过程。 <br /><br />Forms身份验证基本原理: <br /><br />一 身份验证 <br /><br />要采用Forms身份验证,先要在应用程序根目录中的Web.config中做相应的设置: <br /><br />  <br />     表示本应用程序采用Forms验证方式。 <br />1. 标签中的name表示指定要用于身份验证的 HTTP Cookie。默认情况下,name 的值是 .ASPXAUTH。采用此种方式验证用户后,以此用户的
Formality Error/Debug
A670449625的专栏
05-25 3273
1、Formality在match过程中报time limit 一下内容均为运行match命令后打印的log: “ Reference design is r:/WORK/kanas_top_v2 Implementation design isr:/WORK/kanas_top_v2 status: Checking designs...
login登录web配置
w1824575989的博客
10-15 2504
首先明确该文要实现的功能是:当你网站中存在用户名和密码登陆情况:如果你未登录直接复制页面地址回车进入页面时,这时就起作用了。你这时session、cookia等等存储该用户名是空的则自动进入登陆界面。 再也不用你一个一个页面添加 if(session["username"]==null) { Response.Redirect="login.aspx"; } 大家说是不是方便多了。下来我们就一起学习一下这个小技巧: 在webconfig中有一个重要节点 <system.web>.
Web前端开发 form标签相关用法和属性
m0_52841254的博客
05-24 3333
<form>标签 html中的<form>标签,通常用于对用户信息的收集,form表单中需要使用<input>、<textarea>以及<select>标签完成各种功能的实现。 一、<input>标签及其相关属性 1.type属性 type属性用于设置<input>标签所设置的浏览器控件的类型 1.1.text type属性设置为text时,将在表单中插入单行文本框控件 用户名:<input type=
关于Forms 验证的完整解决方案
巴萨,足球的艺术
03-10 1771
关于Forms 验证的完整解决方案代码! 下载地址: http://files.cnblogs.com/enric1985/LogSite-CustomSetting.rar 希望对于大家的学习有所帮助! ------------------------------------------------------------------------------------------
ASP.NET FORM认证实战技巧与权限控制解析
在`<forms>`子节中,我们可以设置认证的相关属性,如`name=".ASPXAUTH"`定义cookie名称,`loginUrl="Login.aspx"`指定登录页面,`protection="All"`确保数据安全,`path="/"`使cookie适用于整个网站,`timeout="20"`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值