что такое ASPXAUTH cookie?


при работе с ASP.Net формы аутентификации я наткнулся .ASPXAUTH cookie. У меня есть пара вопросов:

  • какова цель этого файла cookie?
  • каково местоположение этого файла cookie?
3 66

3 ответа:

в aspxauth файл cookie используется для определения, если пользователь аутентифицирован.

что касается местоположения файла cookie, это зависит от Вашего браузера. Если вы используете Firefox, вы можете просмотреть куки, нажав Сервис -> Настройки -> Приватность. Затем прокрутите вниз до домена и разверните его, чтобы увидеть файл cookie и его значение. Значение шифруется с помощью ключа компьютера (расположенного на компьютере сервера.config или web.конфигурационный файл) так что глядя на куки на клиенте не будет действительно предоставить вам любую информацию. Вы можете расшифровать / просмотреть значение на стороне сервера, используя:

HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];//.ASPXAUTH
FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

здесь authTicket имеет следующие поля:

enter image description here

заявление "ASPXAUTH в основном используется для поддержания ASP.NET состояние сеанса" неверно. ASP.NET выдает совершенно другой файл cookie с именем ASP. NET_SessionId для отслеживания состояния сеанса.

на самом деле .Aspxauth файл cookie не может точно сказать вам, когда пользователь действительно прошел проверку подлинности. Когда пользователь выходит из приложения .Файл cookie ASPXAUTH удаляется из браузера. Однако, если вы вернетесь на сайт в течение короткого периода времени (с таймаутом формы auth cookie) и отредактируете новый файл cookie ASP. NET_SessionId со следующим:

  • измените поле " имя "с" ASP.NET_SessionId "на".Aspxauth файл"
  • изменить "значение" от 24 символов sessionID для старой строки аутентификации 448 char

после обновления вы сможете принять личность аутентифицированного пользователя без технической повторной аутентификации снова. (опять же, предполагая, что вы делаете это в пределах указанного тайм-аута, хранящегося в пределах .ASPXAUTH зашифрованная строка аутентификации)

хороший блог сообщение объясняет проблему более подробно. Возможным решением является пара .ASPXAUTH с сеансом ASP.

Если взаимодействие пользователя с URL-адресом входа HTML позволило TSWPPserver установить личность пользователя, удаленный сервер должен создать файл cookie, который идентифицирует пользователя и разрешает аутентификацию на сервере. Содержимое файла cookie должно быть подписано и зашифровано. Конкретная реализация этого файла cookie, включая алгоритмы подписи и шифрования, зависит от реализации сервера TSWPP, поскольку для анализа содержимого файла требуется только сервер печенье. Если сервер реализует cookie, то cookie должен быть возвращен в полезной нагрузке HTTP с типом контента "application / x-msts-webfeed-login".

http://msdn.microsoft.com/en-us/library/ee920427.aspx