我有一个使用表单身份验证的 asp.net mvc 4 应用程序。
我想将网站设置为 30 分钟的时间限制,如果登录的人在这段时间内不活动(不是登录后的时间),他们会自动注销。我目前坚持使用 cookie,并且没有会话状态。
实现这一目标的最佳方法是什么?
问问题
1184 次
3 回答
0
您应该能够在表单身份验证 cookie 上定义到期日期,以便它在创建后 30 分钟内到期(大概是在访问您的应用程序时)。
我通常通过首先创建一个来做到这一点FormsAuthenticationTicket:
var ticket = new FormsAuthenticationTicket {
1, // a version number; do with it as you like
"my ticket name",
DateTime.Now, // set when the cookie is valid from
DateTime.Now.Add(FormsAuthentication.Timeout), // and when it expires
false, // is the cookie persistent?
"cookie data" // the actual "value" of the cookie;
// I normally put in sufficient stuff to recreate
// the principal + identity on request
};
// encrypt that
var token = FormsAuthentication.Encrypt(ticket);
然后您可以继续实际创建 cookie
var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, token) {
// expiry, again (there must be something redundant here)
Expires = DateTime.Now.Add(FormsAuthentication.Timeout),
// add this if you need it
HttpOnly = true
};
// then flush that in with the response
HttpContext.Current.Response.Cookies.Add(cookie);
的值FormsAuthentication.Timeout可以在您的 中定义,也可以web.config在您的代码中的某处设置。默认值为 30 分钟,因此如果您没有进行任何更改,应该没问题。
<system.web>
<!-- ... -->
<authentication mode="Forms">
<forms timeout="30" ... >
<!-- ... -->
</forms>
</authentication>
</system.web>
我觉得应该有一种更简单的方法来做到这一点,但我喜欢用上面的方式来处理(相对)细粒度的细节。那,或者我只是不必要地无知。
根据我的应用程序的需要,我可以通过制作一个专门作为 DTO 传递给FormsAuthenticationTicket. 这里有相当多的灵活性供您利用。
于 2013-06-11T01:13:39.907 回答
0
为什么要与 cookie 混淆?只需设置超时就可以完成这项工作
像下面的东西。
<authentication mode="Forms">
<forms loginUrl="~/Test/LogOn" timeout="30" defaultUrl="~/Test/Index" />
</authentication>
于 2013-06-11T03:15:55.833 回答
0
我建议的解决方案是利用 FormsAuth 的“slidingExpiration”属性:
<authentication mode="Forms">
<forms loginUrl="~/Account/Login" timeout="20" slidingExpiration="true"/>
</authentication>
此外,要在 Login() 上创建持久 cookie:
FormsAuthentication.SetAuthCookie(model.UserName, true);
这样,您将有一个 20 分钟不活动的滑动窗口,这意味着用户执行的每个操作都会将过期窗口再向前移动 20 分钟。因此,如果 20 分钟内真正处于非活动状态,则 cookie 将过期。
于 2016-10-13T12:39:55.673 回答