แบบฟอร์มการหมดเวลาการรับรองความถูกต้องกับ sessionState timeout

ฉันมีรหัสที่ฉันกำลังมองหาเกี่ยวกับช่วงเวลาการเข้าชมเว็บไซต์ ใน web.config ฉันเจอรหัสนี้

 <authentication mode="Forms">
  <forms loginUrl="~/Auth/SignOn.aspx" timeout="40" slidingExpiration="true" />
</authentication>

<sessionState timeout="30" />

มีใครรู้บ้างไหมว่าคนหนึ่งจะเป็นแบบอย่างเหนือสิ่งอื่นใดและพวกเขาต่างกันอย่างไร ขอบคุณ

พวกมันต่างกัน ค่าการหมดเวลาการรับรองความถูกต้องของฟอร์มจะกำหนดระยะเวลาเป็นนาทีที่คุกกี้การรับรองความถูกต้องตั้งค่าให้ถูกต้องซึ่งหมายความว่าหลังจากvalueจำนวนนาทีคุกกี้จะหมดอายุและผู้ใช้จะไม่ได้รับการรับรองความถูกต้องอีกต่อไป หน้าโดยอัตโนมัติ slidingExpiration=trueค่าเป็นพื้นบอกว่าตราบใดที่ผู้ใช้ทำให้การร้องขอภายในค่าการหมดเวลาที่พวกเขาจะยังคงได้รับการรับรองความถูกต้อง (ดูรายละเอียดเพิ่มเติมที่นี่ ) หากคุณตั้งค่าslidingExpiration=falseคุกกี้การรับรองความถูกต้องจะหมดอายุหลังจากvalueจำนวนนาทีโดยไม่คำนึงว่าผู้ใช้ทำการร้องขอภายในค่าการหมดเวลาหรือไม่

SessionStateค่าหมดเวลากำหนดระยะเวลาที่ผู้ให้บริการสถานะเซสชันจะต้องถือข้อมูลในหน่วยความจำ (หรือสิ่งที่จัดเก็บสำรองข้อมูลจะถูกใช้, SQL Server, OutOfProc ฯลฯ ) สำหรับช่วงใดช่วงหนึ่ง ตัวอย่างเช่นหากคุณวางวัตถุในเซสชันโดยใช้ค่าในตัวอย่างของคุณข้อมูลนี้จะถูกลบหลังจาก 30 นาที ผู้ใช้อาจยังคงได้รับการรับรองความถูกต้อง แต่อาจไม่มีข้อมูลในเซสชันอีกต่อไป Session Timeoutค่ารีเซ็ตเสมอทุกครั้งหลังการร้องขอ

SlidingExpiration = ค่าที่แท้จริงนั้นโดยทั่วไปบอกว่าหลังจากทุกคำขอที่ทำไว้ตัวจับเวลาจะถูกรีเซ็ตและตราบใดที่ผู้ใช้ทำการร้องขอภายในค่าการหมดเวลาเขาจะได้รับการตรวจสอบต่อไป

สิ่งนี้ไม่ถูกต้อง การหมดเวลาคุกกี้การรับรองความถูกต้องจะถูกตั้งค่าใหม่หากหมดเวลาครึ่งหนึ่งของการหมดเวลา

ดูตัวอย่างhttps://support.microsoft.com/de-ch/kb/910439/en-usหรือhttps://itworksonmymachine.wordpress.com/2008/07/17/forms-authentication-timeout-vs-session -หมดเวลา/

จากสิ่งที่ฉันเข้าใจพวกเขาเป็นอิสระจากกัน ด้วยการทำให้การหมดเวลาเซสชันน้อยกว่าหรือเท่ากับการหมดเวลาการรับรองความถูกต้องคุณสามารถตรวจสอบให้แน่ใจว่าตัวแปรเซสชันเฉพาะสำหรับผู้ใช้นั้นไม่คงอยู่หลังจากการรับรองความถูกต้องหมดเวลา (หากเป็นปัญหาของคุณซึ่งฉันคิดว่าเป็นเรื่องปกติ คำถาม). แน่นอนคุณจะต้องจัดการกับการกำจัดตัวแปรเซสชั่นด้วยตนเองเมื่อออกจากระบบ

นี่คือการตอบสนองที่ดีที่อาจตอบคำถามของคุณหรืออย่างน้อยก็ชี้คุณไปในทิศทางที่ถูกต้อง:

• ฟอร์มการรับรองความถูกต้องหมดเวลาเทียบกับการหมดเวลาเซสชัน

ความแตกต่างคือหนึ่ง (Forms timeout) เกี่ยวข้องกับการพิสูจน์ตัวตนของผู้ใช้และอื่น ๆ (Session timeout) เกี่ยวข้องกับระยะเวลาที่ข้อมูลแคชถูกเก็บไว้บนเซิร์ฟเวอร์ ดังนั้นพวกเขาจึงเป็นสิ่งที่อิสระมากดังนั้นจึงไม่มีความสำคัญเหนือสิ่งอื่นใด

      <sessionState timeout="2" />
      <authentication mode="Forms">
          <forms name="userLogin" path="/" timeout="60" loginUrl="Login.aspx" slidingExpiration="true"/>
      </authentication>

การกำหนดค่านี้จะส่งฉันไปที่หน้าเข้าสู่ระบบทุกสองนาทีซึ่งดูเหมือนว่าจะตอบกลับคำตอบก่อนหน้านี้

สำหรับใครก็ตามที่สะดุดกับคำถามนี้โปรดอ่านเอกสารนี้จาก MS - มีรายละเอียดที่ดีเกี่ยวกับการตั้งค่าการหมดเวลาของ FormsAuthentication

เอกสารนี้อธิบายรายละเอียดเกี่ยวกับความคิดเห็น bmode ในคำตอบที่ได้รับการยอมรับ - เกี่ยวกับคุกกี้ถาวร (เซสชัน vs หมดอายุ)

https://docs.microsoft.com/en-us/aspnet/web-forms/overview/older-versions-security/introduction/forms-authentication-configuration-and-advanced-topics-cs#specifying-the-tickets- หมดเวลาที่มีมูลค่า