我们正在使用 MVC 5.2 和 ASP.NET Identity使用表单例份验证屏幕(用户和密码组合)进行身份验证的框架,并且使用 cookie 保留身份。我在身份框架的启动方法中进行了配置,将身份验证 cookie 的到期时间设置为 30 天,当用户选择“记住我”(IsPersistent = true) 时,这很好用。当 IsPersistent = false(用户选择不选择“记住我”)时,默认创建 session cookie。此 session cookie 在 Internet Explorer 和 FireFox 中运行良好,当浏览器关闭时,cookie 将丢失。在 Chrome 和 Safari(可能还有其他浏览器)中,有一些选项可以确保 session cookie 不会丢失,在这种情况下,即使浏览器关闭并重新打开,用户仍会保持登录状态。
我想要一种变通方法来确保 session cookie 不会永远保留,而是在一个小时内被丢弃。我可以通过检查帐户是否在 X 分钟/小时内不活动并且用户从未选择“记住我”来实现这一点,然后如果该时间跨度过去,用户身份将被下一个请求“拒绝”。
是否有人在他们的 ASP.NET Identity 实现中创建了变通方法以确保 session cookie 在 X 时间后在后端过期或者是否有更好的方法来变通此限制?也许可以使用 CookieAuthenticationProvider 的自定义实现来做到这一点,或者将过期日期/时间交给用户声明,这可以在 ValidateIdentity 过程中的某处进行检查?
任何想法都会很棒。 先感谢您, -伊戈尔
编辑 - 更多信息: 我的身份验证实现有 2 种基本“模式”(目前想不出更好的词)。我的实现是针对带有复选框“记住我”的简单用户名/密码表单。复选框值被传递给 AuthenticationProperties 对象的 IsPersistent 属性,该属性被传递给 AuthenticationManager::SignIn 方法。
用户想要“记住我”,这会创建一个使用滑动过期设置的 30 天过期的长期 cookie。这使用户能够在浏览器 session 之间保持身份验证,并且不会因不活动而超时,除非超过 30 天未访问该站点。我的 owin 启动方法中的设置反射(reflect)了 cookie 的过期时间为 30 天(CookieAuthenticationOptions.ExpireTimeSpan 设置为 30 天)。这与浏览器平台无关(据我所知)。
用户不想“记住我”,预期的行为应该是创建一个 session cookie,当浏览器关闭时, session cookie 将从浏览器中删除。这应该确保下次启动浏览器时用户未经过身份验证。当像公共(public)计算机一样使用共享设备时,这一点尤为重要。问题是并非所有浏览器都始终删除 session cookie,如果启用了浏览器设置,有些浏览器会故意保留它们(Chrome 就是一个很好的例子)。 session cookie 没有到期日期/时间,因此 CookieAuthenticationOptions.ExpireTimeSpan 在这里没有影响。 这是我寻求建议的地方,因为我确信我不是第一个遇到这个问题的人。可能有一种方法可以使这种行为更安全,因为替代方案是什么也不做,并可能在浏览器上留下一个 session cookie(永不过期!)。
See this link for more detail on Chrome and session cookies.
最佳答案
Identity 已经在 cookie 数据中嵌入了过期时间,并由 OWIN 检查。
要在 Startup.Auth.cs 的 ConfigureAuth 方法中将 cookie 生命周期设置为 ExpireTimeSpan 一个小时:
public void ConfigureAuth(IAppBuilder app)
{
// other stuff
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
ExpireTimeSpan = TimeSpan.FromHours(1),
});
}
这将确保 cookie 将在一小时后过期。
关于c# - Asp.net 身份过期 session Cookie,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28113178/
作为我的Rails应用程序的一部分,我编写了一个小导入程序,它从我们的LDAP系统中吸取数据并将其塞入一个用户表中。不幸的是,与LDAP相关的代码在遍历我们的32K用户时泄漏了大量内存,我一直无法弄清楚如何解决这个问题。这个问题似乎在某种程度上与LDAP库有关,因为当我删除对LDAP内容的调用时,内存使用情况会很好地稳定下来。此外,不断增加的对象是Net::BER::BerIdentifiedString和Net::BER::BerIdentifiedArray,它们都是LDAP库的一部分。当我运行导入时,内存使用量最终达到超过1GB的峰值。如果问题存在,我需要找到一些方法来更正我的代
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
是的,我知道最好使用webmock,但我想知道如何在RSpec中模拟此方法:defmethod_to_testurl=URI.parseurireq=Net::HTTP::Post.newurl.pathres=Net::HTTP.start(url.host,url.port)do|http|http.requestreq,foo:1endresend这是RSpec:let(:uri){'http://example.com'}specify'HTTPcall'dohttp=mock:httpNet::HTTP.stub!(:start).and_yieldhttphttp.shou
如何在ruby中调用C#dll? 最佳答案 我能想到几种可能性:为您的DLL编写(或找人编写)一个COM包装器,如果它还没有,则使用Ruby的WIN32OLE库来调用它;看看RubyCLR,其中一位作者是JohnLam,他继续在Microsoft从事IronRuby方面的工作。(估计不会再维护了,可能不支持.Net2.0以上的版本);正如其他地方已经提到的,看看使用IronRuby,如果这是您的技术选择。有一个主题是here.请注意,最后一篇文章实际上来自JohnLam(看起来像是2009年3月),他似乎很自在地断言RubyCL
我正在尝试在Ruby中复制Convert.ToBase64String()行为。这是我的C#代码:varsha1=newSHA1CryptoServiceProvider();varpasswordBytes=Encoding.UTF8.GetBytes("password");varpasswordHash=sha1.ComputeHash(passwordBytes);returnConvert.ToBase64String(passwordHash);//returns"W6ph5Mm5Pz8GgiULbPgzG37mj9g="当我在Ruby中尝试同样的事情时,我得到了相同sha
我目前正在使用以下方法获取页面的源代码:Net::HTTP.get(URI.parse(page.url))我还想获取HTTP状态,而无需发出第二个请求。有没有办法用另一种方法做到这一点?我一直在查看文档,但似乎找不到我要找的东西。 最佳答案 在我看来,除非您需要一些真正的低级访问或控制,否则最好使用Ruby的内置Open::URI模块:require'open-uri'io=open('http://www.example.org/')#=>#body=io.read[0,50]#=>"["200","OK"]io.base_ur
C#实现简易绘图工具一.引言实验目的:通过制作窗体应用程序(C#画图软件),熟悉基本的窗体设计过程以及控件设计,事件处理等,熟悉使用C#的winform窗体进行绘图的基本步骤,对于面向对象编程有更加深刻的体会.Tutorial任务设计一个具有基本功能的画图软件**·包括简单的新建文件,保存,重新绘图等功能**·实现一些基本图形的绘制,包括铅笔和基本形状等,学习橡皮工具的创建**·设计一个合理舒适的UI界面**注明:你可能需要先了解一些关于winform窗体应用程序绘图的基本知识,以及关于GDI+类和结构的知识二.实验环境Windows系统下的visualstudio2017C#窗体应用程序三.
1.错误信息:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:requestcanceledwhilewaitingforconnection(Client.Timeoutexceededwhileawaitingheaders)或者:Errorresponsefromdaemon:Gethttps://registry-1.docker.io/v2/:net/http:TLShandshaketimeout2.报错原因:docker使用的镜像网址默认为国外,下载容易超时,需要修改成国内镜像地址(首先阿里
我很好奇.NET将如何影响Python和Ruby应用程序。用IronPython/IronRuby编写的应用程序是否会非常特定于.NET环境,以至于它们实际上将变得特定于平台?如果他们不使用任何.NET功能,那么IronPython/IronRuby相对于非.NET同类产品的优势是什么? 最佳答案 我不能说任何关于IronRuby的东西,但是大多数Python实现(如IronPython、Jython和PyPy)都试图尽可能忠实于CPython实现。不过,IronPython正在迅速成为这方面的佼佼者之一,并且在PlanetPyth
require'mechanize'agent=Mechanize.newlogin=agent.get('http://www.schoolnet.ch/DE/HomeDE.htm')agent.clicklogin.link_withtext:/Login/然后我得到Mechanize::UnsupportedSchemeError。 最佳答案 Mechanize不支持javascript但您可以将搜索字段添加到表单并为其分配搜索词并使用mechanize提交表单form=page.forms.firstform.add_fie