Délai d'authentification des formulaires et délai d'attente de sessionState

Question

J'ai un code que je suis en train d'examiner concernant les interruptions de session du site Web. Dans le web.config, je suis tombé sur ce code.

 <authentication mode="Forms">
  <forms loginUrl="~/Auth/SignOn.aspx" timeout="40" slidingExpiration="true" />
</authentication>

<sessionState timeout="30" />

Quelqu'un sait-il si l'un prévaut sur l'autre, et en quoi ils sont différents ? Merci.

Answer 1

Ce sont des choses différentes. La valeur Forms Authentication Timeout définit la durée, en minutes, pendant laquelle le cookie d'authentification est considéré comme valide, ce qui signifie qu'après l'expiration de la période d'authentification, le cookie ne sera plus valide. value nombre de minutes, le cookie expirera et l'utilisateur ne sera plus authentifié - il sera redirigé automatiquement vers la page de connexion. Le site slidingExpiration=true signifie essentiellement que tant que l'utilisateur effectue une demande dans le délai imparti, il continuera d'être authentifié (plus de détails à ce sujet dans le site Web de l'UE). aquí ). Si vous définissez slidingExpiration=false le cookie d'authentification expirera après value nombre de minutes, que l'utilisateur fasse une demande dans le délai imparti ou non.

El SessionState La valeur timeout définit la durée pendant laquelle un fournisseur d'état de session doit conserver les données en mémoire (ou dans le magasin de sauvegarde utilisé, SQL Server, OutOfProc, etc) pour une session particulière. ) pour une session particulière. Par exemple, si vous placez un objet dans la session en utilisant la valeur indiquée dans votre exemple, ces données seront supprimées au bout de 30 minutes. L'utilisateur peut toujours être authentifié mais les données de la session ne sont plus présentes. Le site Session Timeout est toujours remis à zéro après chaque demande.

Answer 2

La valeur slidingExpiration=true signifie essentiellement qu'après chaque demande effectuée, le minuteur est remis à zéro et tant que l'utilisateur effectue une demande dans le délai imparti, il continuera à être authentifié.

Ce n'est pas correct. Le délai d'expiration du cookie d'authentification ne sera réinitialisé que si la moitié du délai d'expiration s'est écoulée.

Voir par exemple https://support.microsoft.com/de-ch/kb/910439/en-us o https://itworksonmymachine.wordpress.com/2008/07/17/forms-authentication-timeout-vs-session-timeout/

Answer 3

D'après ce que j'ai compris, ils sont indépendants les uns des autres. En maintenant le délai d'expiration de la session inférieur ou égal au délai d'expiration de l'authentification, vous pouvez vous assurer que les variables de session spécifiques à l'utilisateur ne sont pas conservées après la fin de l'authentification (si c'est ce qui vous préoccupe, ce qui me semble normal lorsque vous posez cette question). Bien sûr, vous devrez gérer manuellement l'élimination des variables de session lors de la déconnexion.

Voici une réponse décente qui pourrait répondre à votre question ou du moins vous orienter dans la bonne direction :

• Délai d'authentification des formulaires et délai de session

Answer 4

La différence réside dans le fait que l'un (Forms timeout) a trait à l'authentification de l'utilisateur et que l'autre (Session timeout) a trait à la durée de stockage des données en cache sur le serveur. Ce sont donc des choses très indépendantes, et l'une n'a pas la priorité sur l'autre.

Answer 5

      <sessionState timeout="2" />
      <authentication mode="Forms">
          <forms name="userLogin" path="/" timeout="60" loginUrl="Login.aspx" slidingExpiration="true"/>
      </authentication>

Cette configuration me renvoie à la page de connexion toutes les deux minutes, ce qui semble contredire les réponses précédentes