我为正在开发的新应用程序设置了被动 STS。
我注意到,当用户的会话过期时,该用户仍然是经过身份验证的。我会认为当会话到期时,用户将不再被验证。我的老板与我讨论了这个问题,因为我目前负责设置身份验证。他说,如果我们可以让用户的登录在一段时间不活动后过期,就像会话过期一样。
我熟悉如何通过几行代码让用户退出。如何使用户在指定的不活动时间后自动退出?
目前,我在global.asax 文件中有一些代码以编程方式检查上次请求的时间并将其与当前时间进行比较;然后,如果某个时间段已过期,它会注销用户。
【问题讨论】:
标签: asp.net security authentication wif passive-sts
Peter Kron 在您的 MSDN 帖子中提出了一个答案:
处理由 WSFederationAuthenticationModule 引发的 SessionSecurityTokenCreated 事件。你可以从提议的令牌中创建一个新的 SessionSecurityToken,并随意设置生命周期。
http://social.msdn.microsoft.com/Forums/en-US/Geneva/thread/6b6d51ea-9c15-4744-800b-dd1379b495c3
【讨论】:
e.ReissueCookie = true 放入处理程序方法中,否则它将不起作用:-/
"e.ReissueCookie" 属性,我一直在阅读这是多么重要。我的过期时间设置正确,但我仍然在过期日期之后通过身份验证。