不活动时间后超时 MVC 网站

Question

在一段时间不活动后，我试图让我的 MVC 站点超时。

我尝试了很多方法，但似乎都没有奏效。我尝试了以下方法：

使用 CookieAuthenticationOptions 类

  app.UseCookieAuthentication(new CookieAuthenticationOptions
  {
      ExpireTimeSpan = TimeSpan.FromMinutes(1),
      AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
      LoginPath = new PathString("/xxx")
   });

在 web.config 中使用表单身份验证元素：

<authentication mode="Forms" >
    <forms loginUrl="~/xxxx"  timeout="1"/>
</authentication>

并且还使用配置文件中的 sessionState：

<sessionState timeout="1"/>

但这些似乎都不起作用。

我缺少什么，哪种方法最好？

Answer 1

首先，您在这里混淆了两个概念：会话超时和身份验证超时。换句话说，没有“网站超时”之类的东西。你需要弄清楚你实际上想在这里控制什么。接下来，会话超时是滑动的，所以只要用户在积极使用网站，他们的会话就永远不会超时。但是，身份验证超时是绝对的，因此在指定的时间过去后，用户将被注销，无论他们是否正在积极使用该网站。

就身份验证超时而言，您实际上在这里也混淆了两个概念：身份和成员身份（表单身份验证）。您拥有的第一段代码是如何在 ASP.NET Identity 中控制身份验证超时，而第二段代码是如何使用 ASP.NET Membership 进行控制。两者是互斥的，显然需要与您的项目使用的实际身份验证机制相匹配。