我在ASP.net和一般情况下对安全性有几个问题。
哪里存储“授权”Cookie?当我登录系统然后决定退出时,我想这足以从我的浏览器中删除cookie但这不起作用。然后我重新考虑这些cookie是从浏览器存储的密码提供的,但又错了,因为我没有看到我的网站的登录/密码信息。 并且由于“Authorization”cookie总是返回以响应401代码,因此用户始终保持登录系统并且我无法理解如何注销。
“.ASPXAUTH”超时 - 建议30分钟,然后Cookie过期。虽然我登录了,但是在推荐30分钟后我需要再次登录(即使滑动属性为true,我也可以离开页面超过30分钟)。但是当我登录到大多数站点时(例如stackoverflow),我可以再次进入这里,即使在一周延迟后也无需登录。它的实现方式是,网站只是设置超时时间更长的时间还是其他一些技术?
谢谢!
答案 0 :(得分:3)
回答问题1:
使用FormsAuthentication.Signout();注销。这将删除身份验证cookie。身份验证cookie存储在http请求中,并作为每个其他cookie存储在响应中。
转发第二个问题:您的Cookie应在2880分钟后过期。我不知道为什么它会在你的情况下30分钟后到期。滑动过期通常也有效。你的浏览器设置有影响吗?另一种可能性是Visual Studio内部Web服务器的行为不像真正的Web服务器。在IIS上尝试您的设置。
编辑: 我认为你的第二个问题的答案是here