0

我们有一个大问题。我们使用的是比利时 eID(电子身份证,这是一张智能卡)。返回的Claim,由我们的表单身份验证使用。

一切正常,但 10 分钟后(活动或不活动,没关系),它会自动注销。

这里是我们创建会话的代码片段:

private void CreateSession(ClaimsPrincipal transformedPrincipal)
{
    SessionSecurityToken sessionSecurityToken = new SessionSecurityToken(transformedPrincipal, TimeSpan.FromHours(1));
    FederatedAuthentication.SessionAuthenticationModule.WriteSessionTokenToCookie(sessionSecurityToken);
}

Web.config中,我们设置了会话超时:

<sessionState cookieless="false" timeout="60" />

IIS 服务器上,我们将应用程序池空闲超时设置为 8 小时。
我们还将回收的常规时间间隔设置为 8 小时。

4

1 回答 1

0

快速破解

将会话设置为比表单超时晚 2 分钟。这确保了会话不会在身份验证结束的那一刻被终止。但请记住,会话独立于表单(请参阅此博客)以获取更多详细信息。

<system.web>
   <authentication mode="Forms">
      <forms timeout="20" loginUrl="-- Login Page here --"/>
   </authentication>

   <sessionState mode="InProc" timeout="22"/>
</system.web>

深入调查

我会尝试找出具体是哪一个超时。这是一个相当简单的测试,可以为您节省大量时间。

因此,所需的部分是超时 1 分钟和会话 10000 的部分

<system.web>
   <authentication mode="Forms">
      <forms timeout="1" loginUrl="-- Login Page here --"/>
   </authentication>

   <sessionState mode="InProc" timeout="10000"/>
</system.web>

所以登录,浏览到一个页面,等待一分钟并刷新站点,你应该会看到登录页面。

在您喜欢的浏览器中,打开开发人员工具栏并浏览为本网站存储的 cookie。应该有2个cookie:

  • ASP.NET_SessionId- 跟踪您的会话
  • .ASPXAUTH- 跟踪您的登录(除非您的浏览器因过期而将其删除)

您应该看到会话 ( ASP.NET_SessionId) 的过期时间是将来的时间,但表单 ( .ASPXAUTH) 已过期。

再次登录,你的会话应该和以前一样。

反转设置,您应该会发现正在发生相反的情况,即您登录了很长时间,但它正在重置。

跟踪会话结束事件

您可以尝试的另一种方法是在您的全球 ASAX 中。确保您sessionMode='InProc'在 web.config 中并添加一个方法:

// Only works with sessionMode='InProc'
protected void Session_End(object sender, EventArgs e)
{
   if(Debugger.IsAttached)
      Debugger.Break();
}

断点将在会话终止时命中,您可以通过调用堆栈追溯它过期的确切原因。这也可能在代码调用时发生Session.Abandon()

于 2013-06-22T09:02:57.823 回答