對於ASP.NET Forms驗證,想必大家都非常的熟悉。然而,在控制用戶的(過期時間)expired time的時候,你是否遇到過一些奇怪的現象呢?雖說只是一個小小的cookie,但是其中可能有很多的東西你都不知道。今天我將和大家詳細討論一下cookie的注意點。
在ASP.NET 的Forms驗證中,通常我們會使用ASP.NET自帶的Login控件來進行驗證。同時,在web.config文件中,我們所有的Forms設置都設為默認。現在,問題就來了。
1) 為什麼我明明點了"Remember me",而大概半個小時後,我又Log out了?
2) 為什麼我明明設置了timeout為無限期 e.g. 400000,為什麼一兩天之後我又Log out了呢?
這是Forms驗證中遇到的比較多的問題。下面,我就這兩個問題做一個詳細的解釋:
對於問題一,首先我要闡明ticket和cookie的區別。cookie是一個容器,用來存放東西,它是保存在客戶端的。而ticket是具體的數據,用來表示具體的驗證信息,它是放在cookie這個容器中的。因而,在我們驗證的過程中,以下事情發生了。首先,ticket被創造了,裡面包含著用戶名等信息,同時它有一個過期時間。然後,cookie被創造了,它同樣也有一個過期時間。最後,將ticket保存在cookie中,並將此cookie發送到client的浏覽器中。讀到這裡,我想問題已經很明白了,用戶的Log out就是因為時間過期的問題。但具體是誰的時間過期了呢?在我們ASP.NET web.config的設置中,timeout是cookie的過期時間(注意,默認是30分鐘),而ticket的過期時間是無限的,因為我們選了"Remember me"。這就是為什麼雖然我點了"Remember me",但在30分鐘左右後,我仍然被Log out了,因為我們並沒有設置cookie的timeout。ticket和cookie,只要其中之一不是永遠不過期,我們都無法實現永不過期。
當我們解決了問題一後(假如手動設置timeout="4000000"),我們又遇到了問題二。這又是什麼原因呢?這得從ticket的加密解密機制說起。ASP.NET會使用一個machinekey來對cookie進行加密,這個machinekey默認是在application啟動時隨機生成的。然後,ASP.NET會使用同一個machinekey進行cookie進行解密。正式因為這個key是application啟動時隨機生成的才導致了問題二。試想,如果application recycle(重啟)了怎麼辦?ASP.NET會生成另一個key進行解密,以前的cookie將不再有效,這就是問題二的原因了。知道了這個,解決第二個問題的辦法就很簡單了,手動設置一個特定的key。如:
<machineKey validationKey="88CB6CA6CF403C5FBB41C2F62BB7FCFCA05DE7BE" decryptionKey="B8A7CF3816C57176" validation="SHA1" />
P.S. 網上也有些隨機生成key的站點,如:http://www.aspnetresources.com/tools/keycreator.aspx.
看到這裡,大家是不是對Forms驗證cookie有新的了解呢 :)
Have a nice day!
