9

セッションCookieはどのくらいの期間使用できますか? SharePoint サイトに認証されたクライアント アプリケーションがあり、サブサイト間を移動するために Cookie を使用しています。Cookieを保存し、ヘッダーを再利用して、後で再度認証せずにサイトにログインしています。有効期限は設けておりません。Cookie はどのくらいの期間保持され、いつ再認証する必要がありますか?

4

2 に答える 2

9

セッション Cookie の有効期限は、ブラウザによって異なります。ブラウザごとの現在の仕様を示す参考文献は見つかりませんでした。以前は、ブラウザーを閉じるとセッション Cookie が破棄されていましたが、一部のブラウザーでは、有効にすると、ブラウザーを閉じてもセッション Cookie が保持されるようになる設定があります。たとえば、Firefox の「Firefox の起動時: 前回のウィンドウとタブを表示する」を使用すると、これが発生しますが、これは驚くべきことです。Chrome の「起動時: 中断したところから続行」も同様です。

SharePoint はあまり好きではないので、しばらく使用していませんでしたが、思い出すと、ASP.Net フォーム認証を使用し、他の ASP.Net サイトと同じように web.config から構成を取得します。そうは言っても、Cookie のタイムアウトはあまり気にしません。あなたが気にするのは、サーバー側のセッション トークンのタイムアウトです。つまり、上記の Cookie に含まれるデータがサーバーによって認識される時間です。これは、ASP.Net アプリの web.config ファイルのフォーム タグのタイムアウト プロパティによって設定されます。

<system.web>
    <!-- ... -->
    <authentication mode="Forms">
        <forms timeout="2880" />
    </authentication>
    <!-- ... -->
</system.web>
于 2013-10-28T19:31:10.390 に答える
1

期限切れがない場合は、ブラウザが強制終了されるまで有効です。通常、ASP.Net では、セッション Cookie は 20 分のタイムアウトで設定されます。それは通常かなり良いです。アプリによっては、JavaScript タイマーも必要になる場合があります。そうしないと、ブラウザは、ページが更新されて機密データが公開されるまで、いつログアウトされたかを認識できません。この実装は、あらゆるオンライン バンキング サイトで見られます。

(反対票から明確にするために編集)実際、セッションCookieはブラウザが閉じられるまで残ります。ここで調べることができます: http://www.allaboutcookies.org/cookies/cookies-the-same.html

上記の回答は、一部の新しいブラウザーがクラッシュ/クローズ後にセッション Cookie を回復するという点でも正しいです。

@Grinn、チケットの良い点を教えてください。ASP.Net Forms 認証を使用すると、暗号化されたチケットがセッション Cookie 内に配置されます。ブラウザーに関する限り、Cookie は有効ですが、チケット内の日付スタンプの有効期限が切れている場合、無効と見なされます。

Sharepoint でフォーム認証に似たものを使用している場合は、Cookie のチケットをクラックできる独自のメンバーシップ プロバイダーを作成する必要がありますが、日付スタンプの有効期限が切れているかどうかは無視してください。カスタム メンバーシップ プロバイダーの構築

于 2013-03-22T18:56:16.503 に答える