Logon identifiziert - jeder Backend-Speicher dieser Nummer?

Question

Wenn Sie sich bei einer ASP.NET-Anwendung anmelden, erhalten Sie ein Anmelde-Cookie (ich glaube, es heißt ASPX_AUTH oder ähnliches). Wie ist die Struktur dieses Cookies? Behält der Server tatsächlich einen Anmeldezustand bei, oder ist er rein innerhalb des Cookies (in welchem ​​Fall kann ich einen sehr langen Anmeldezustand erzwingen, indem ich den Cookie-Ablauf abfahre)?

Tx, AJ.

Answer 1

Der Cookie ist Hashed und verschlüsselt.
Wenn Sie es ändern, wird es ungültig.

Dieses Verhalten wird durch das protection-Attribut des <forms > element in Web.config gesteuert.

Answer 2

Wenn Sie einen langen Anmelde Zustand wollen, oder für die Anmeldung nicht Timeout, setzen zwei Dinge in Formen Eintrag in der web.config:

timeout = "_ numer_of_minutes" slidingExpiration = "true"

Dadurch bleibt Ihr Benutzer angemeldet.