Zeitlimit für Formularauthentifizierung im Vergleich zum Zeitlimit für Sitzungsstatus

Ich habe einen Code, den ich über Sitzungszeiten der Website durchschaue. In der web.config bin ich auf diesen Code gestoßen.

    

Weiß jemand, ob der eine Präzedenzfall gegenüber dem anderen ist und wie unterschiedlich sie sind? Vielen Dank.

Sie sind verschiedene Dinge. Der Zeitlimitwert für die Formularauthentifizierung legt den Zeitraum in Minuten fest, für den der Authentifizierungscookie gültig ist. Das bedeutet, dass der Cookie nach der Anzahl der Minuten ungültig wird und der Benutzer nicht mehr authentifiziert wird Login-Seite automatisch-. Der Wert slidingExpiration=true besagt im Grunde, dass der Timer nach jeder Anfrage zurückgesetzt wird und solange der Benutzer eine Anfrage innerhalb des Timeout-Wertes absetzt, werden sie weiterhin authentifiziert. Wenn Sie slidingExpiration=false der Authentifizierungscookie nach der slidingExpiration=false von Minuten ablaufen, unabhängig davon, ob der Benutzer eine Anforderung innerhalb des Zeitlimitwerts stellt oder nicht.

Der SessionState Zeitüberschreitungswert legt die Zeit fest, die ein Sitzungsstatusanbieter für die Speicherung von Daten im Speicher (oder einem anderen Sicherungsspeicher, SQL Server, OutOfProc usw.) für eine bestimmte Sitzung benötigt. Wenn Sie beispielsweise ein Objekt mit dem Wert in Ihrem Beispiel in Sitzung einfügen, werden diese Daten nach 30 Minuten entfernt. Der Benutzer kann immer noch authentifiziert sein, aber die Daten in der Sitzung sind möglicherweise nicht mehr vorhanden. Der Session Timeout wird immer nach jeder Anforderung zurückgesetzt.

Der Wert slidingExpiration = true besagt im Grunde, dass der Timer nach jeder Anfrage zurückgesetzt wird und solange der Benutzer eine Anfrage innerhalb des Timeout-Wertes stellt, wird er weiterhin authentifiziert.

Das ist nicht richtig. Der Authentifizierungs-Cookie-Timeout wird nur zurückgesetzt, wenn die Hälfte der Zeit des Timeouts verstrichen ist.

Siehe zum Beispiel https://support.microsoft.com/de-ch/kb/910439/en-us oder https://itworksonmymachine.wordpress.com/2008/07/17/forms-authentication-timeout-vs-session -Auszeit/

Von dem, was ich verstehe, sind sie unabhängig voneinander. Wenn Sie das Sitzungszeitlimit auf dem gleichen oder dem gleichen Wert wie das Authentifizierungstimeout halten, können Sie sicherstellen, dass alle benutzerspezifischen Sitzungsvariablen nach Ablauf der Authentifizierungszeit nicht mehr persistiert werden (falls Sie dies befürchten) Frage). Natürlich müssen Sie beim Abmelden die Entsorgung der Sitzungsvariablen manuell vornehmen.

Hier ist eine anständige Antwort, die Ihre Frage beantworten oder Sie zumindest in die richtige Richtung weisen kann:

  • Zeitlimitüberschreitung für Formularauthentifizierung und Sitzungstimeout

Der Unterschied besteht darin, dass einer (Formular-Timeout) mit der Authentifizierung des Benutzers und der andere (Session-Timeout) damit zu tun hat, wie lange zwischengespeicherte Daten auf dem Server gespeichert sind. Sie sind also sehr unabhängige Dinge, also hat man keinen Vorrang vor dem anderen.

      

Diese Konfiguration sendet mich alle zwei Minuten zur Anmeldeseite, was die früheren Antworten zu widerlegen scheint