Tout en travaillant avec ASP.Net l'Authentification par Formulaires, je suis tombé sur le .Cookie ASPXAUTH. J'ai quelques questions:
- Quel est le but de ce cookie?
- Qu'est-ce que l'emplacement de ce cookie?
Réponses
Trop de publicités?
La déclaration "ASPXAUTH est essentiellement utilisée pour maintenir ASP.NET l'État de Session" est incorrecte. ASP.NET questions d'un tout autre cookie, nommé ASP.NET_SessionId, pour suivre l'état de session.
Le cookie ASPXAUTH est utilisé pour déterminer si un utilisateur est authentifié.
Aussi loin que l'emplacement du cookie, cela dépend de votre navigateur. Si vous utilisez Firefox, vous pouvez afficher les cookies en cliquant sur Outils -> Options -> vie privée. Ensuite, faites défiler vers le bas pour le domaine et de l'étendre à voir les cookie et sa valeur. La valeur est chiffrée en utilisant la clé de l'ordinateur (situé dans la machine du serveur.config ou web.fichier de config) donc en regardant le cookie sur le client ne sera pas vraiment vous donner toutes les informations.
Robert
Points
31
En fait la .Cookie ASPXAUTH n'est pas exactement vous dire lorsque l'utilisateur est vraiment authentifié. Lorsque l'utilisateur se déconnecte de l'application, l' .Cookie ASPXAUTH est supprimé à partir du navigateur. Toutefois, si vous revenez sur le site à l'intérieur d'une courte période de temps (avec délai d'attente de la forme auth cookie), et de modifier l'ASP.NET_SessionId du cookie avec les éléments suivants:
- changement de champ "nom" de "ASP.NET_SessionId" pour ".ASPXAUTH"
- changez la "valeur" du 24 char sessionID vieux 448 char chaîne d'authentification
Après rafraîchissement vous sera en mesure d'assumer l'identité de l'utilisateur authentifié sans techniquement ré-authentifier à nouveau. (encore une fois en supposant que vous faites cela dans la specificied délai stockées au sein de l' .ASPXAUTH chiffré auth string)
Cruiser KID
Points
375
Si un utilisateur interactions avec le HTML URL de connexion ont permis à la TSWPPserver pour établir l'identité de l'utilisateur, le serveur distant DOIT générer un cookie qui identifie l'utilisateur et permet l'authentification du serveur. Le contenu du cookie DOIT être signé et chiffré. La mise en œuvre spécifique de ce cookie, y compris la signature et les algorithmes de cryptage dépend de la mise en œuvre de la TSWPP serveur, car seul le serveur est nécessaire pour analyser le contenu du cookie. Si le serveur implémente le cookie, alors le cookie DOIT être retourné dans un HTTP charge utile avec un Content-Type "application/x-msts-webfeed-login".
