asp.net - 将 FormsAuthentication 替换为 SessionAuthenticationModule (SAM) 以实现 Claims Aware 身份-6ren

asp.net - 将 FormsAuthentication 替换为 SessionAuthenticationModule (SAM) 以实现 Claims Aware 身份

转载作者：行者123 更新时间：2023-12-02 12:07:22

25

4

我有一个现有的 MVC4 应用程序 (.NET 4.5)，使用 FormsAuthentication我希望改用 SessionAuthenticationModule这样我就可以获得一个声明感知的身份，以便轻松地将附加数据添加到身份中，并作为最终迁移到使用 ADFS 等 STS(安全 token 服务)服务通过 WIF(Windows Identity Foundation)执行身份验证的第一步( Active Directory 联合身份验证服务)，但这都是以后的事了。

My question is, what determines the timeout when a user is authenticated using SessionAuthenticationModule?

我用了this page让我的身份验证工作正常，而且看起来工作正常。基本上我的身份验证看起来像这样。

我的登录操作方法的片段

var personId = securityService.AuthenticateUser(model.Login, model.Password);

if (!personId.IsEmpty())
{
    authenticationService.SignIn(personId, model.RememberMe);
    if (Url.IsLocalUrl(model.ReturnUrl))
        return Redirect(model.ReturnUrl);
    else
        return RedirectToAction("Index", "Home");
}

AuthenticationService.SignIn()

public void SignIn(Guid personId, bool createPersistentCookie)
{
    var login = securityService.GetLoginByPersonId(personId);
    if (String.IsNullOrEmpty(login.Name)) throw new ArgumentException("Value cannot be null or empty.", "userName");

    var claims = LoadClaimsForUser(login.Name);
    var identity = new ClaimsIdentity(claims, "Forms");
    var claimsPrincipal = new ClaimsPrincipal(identity);
    var token = new SessionSecurityToken(claimsPrincipal, ".CookieName", DateTime.UtcNow, DateTime.UtcNow.AddMinutes(30)) { IsPersistent = createPersistentCookie };
    var sam = FederatedAuthentication.SessionAuthenticationModule;
    sam.WriteSessionTokenToCookie(token);
}

AuthenticationService.LoadClaimsForUser()

private IEnumerable<Claim> LoadClaimsForUser(string userName)
{
    var person = securityService.GetPersonByLoginName(userName);
    if (person == null)
        return null;

    var claims = new List<Claim>();
    claims.Add(new Claim(ClaimTypes.NameIdentifier, person.PersonId.ToString()));
    claims.Add(new Claim(ClaimTypes.Name, userName));
    /* .... etc..... */
}

但是我对此唯一担心的是我想保留滑动过期的行为，这样用户在登录过期时就不会被提示重新登录，但是在解决这个问题时我注意到我可以根本不知道是什么决定了他们保持登录状态的时间。我设置了session timeout , forms timeout和 validTo SessionSecurityToken 构造函数上的参数设置为 1 分钟，但即使在这之后，我仍然能够访问该网站。 cookie 在浏览器中显示的过期日期为“Session”，我不确定为什么，但即使 cookie 对 session 有效， token 、身份或任何您想要调用的内容也不应该在 1 分钟后过期并强制用户重新登录？

最佳答案

我曾经遇到过类似的问题，这是我的问题，其中包含我在 token 过期时使 cookie 无效的方法

How to set the timeout properly when federating with the ADFS 2.0

添加一些不同的逻辑可以让您滑动过期时间

http://brockallen.com/2013/02/17/sliding-sessions-in-wif-with-the-session-authentication-module-sam-and-thinktecture-identitymodel/

web.config - 设置 MaxClockSkew

<system.identityModel>
  <identityConfiguration>
    <securityTokenHandlers>
      <securityTokenHandlerConfiguration maximumClockSkew="0">
        </securityTokenHandlerConfiguration>
    </securityTokenHandlers>
  </identityConfiguration>
</system.identityModel>

关于asp.net - 将 FormsAuthentication 替换为 SessionAuthenticationModule (SAM) 以实现 Claims Aware 身份，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/16551180/

25

4

0

文章推荐： asp.net - 如何阻止 IIS 解码 URL

文章推荐： haskell - cabal 更新: Local and remote files match

文章推荐： android - 如何正确更新 Android BillingFlowParams 方法已弃用

文章推荐： clojure - 如何删除 Compojure 应用程序中的全局数据

php - 如何用 "a"替换 "d"，用 "b"替换 "e"，用 "c"替换 "f"，。 . . "x"和 "a"， "y"和 "b"， "z"和 "c"？
我想对一个字符串执行搜索和替换，比如 password。正如您从问题中了解到的那样，替换后的字符串应变为 sdvvzrug。但不幸的是，下面的代码输出bbbbcaab: $search = ran
Python future 化而不用 old_div 替换/替换
我正在使用 futurize --stage2它应用了许多源代码转换以使代码 python2 和 python3 兼容。其中一个修复是所有分区 a/b 都替换为 old_div(a/b)，我想避免这种
read.csv 用 `?` 替换 `.` 等列名字符，用 `-` 替换 `...`
我正在使用 RStudio，但我在控制台上的输出被截断了。我找不到如何停止截断(我尝试搜索 ?options 以及在谷歌上搜索的时间比我想承认的要长)。编辑:我向大家道歉!我最初的长名称为“This
android - 替换、添加、替换 fragment ，然后导航后退按钮不适用于第一个 fragment
我有一个 fragment 堆栈，我在其中使用替换和相加。添加或替换我的 fragment 的代码(在我的 Activity 中)如下 private fun addFragment(fragment
javascript - 在 javascript 变量上一次性用 %20 替换/替换 ""和 ""？
我在一个数组中插入了一些字符串，但在我这样做之前，我想按照主题所说的去做。只用 %20 替换空格，我这样做: Name.push(linkText.replace(" ", "%20")); 但是我如
Java - StringBuilder 替换()显示错误 : method String. 替换(char，char)不适用
我正在尝试编译和测试我在网上看到的代码 Expanding an IP add 。但是，当我尝试编译它时，我收到有关 StringBuilder 替换方法的错误。它说: IPadd.java:52:
用 dplyr 中的 data_frame() 替换 data.frame 并用 bind_cols() 替换 cbind
我正在尝试使用 dplyr 的最新功能重写我的部分代码，方法是将 data.frame() 替换为 data_frame() 和 cbind() 与 bind_cols(): library(rgeo
替换()与 "[<-"？
我最近偶然发现了 replace()和 "[ x.tst s.tst s.tst [,1] [,2] [,3] [1,] 0 0 0
Vim 替换
我一直想知道，如何在给定的参数内进行替换。如果你有这样的一行: 123,Hello,World,(I am, here), unknown 你想更换 World与 Foobar那么这是一个简单的任务
java:替换 "with\"
如何转义字符串中的双引号？例如， input: "Nobody" output: \"Nobody\" 我尝试过这样的操作，但不起作用: String name = "Nobody"; name.r
JavaScript 替换
我正在做类似的事情: SQL sql sQl SqL var ps = document.getElementsByTagName('p'); for(var i = 0; i 但它不会替换文本。
javascript - 替换 "with\"
我正在尝试用 \" 替换所有 " 并用 JSON 解析字符串，但浏览器抛出错误 SyntaxError: JSON Parse error: Unrecognized token '\'. 下面是代码
Javascript 替换
大家好，在这里挣扎...... 是否可以将第一个正斜杠之间的任何内容替换为“”，但保留其余部分？例如var 将是 string "/anything-here-this-needs-to-be-re
JavaScript 替换
在下面的代码中，JavaScript 替换函数中的 alert(a) 将提醒匹配的字符串，在本例中，将是 {name} 和 {place}。这按照文档 javascript docs 的描述工作，即
MySQL 替换
+-----------------------------+ | tables | +-------------------
Java 替换 "with\"
我正在尝试用\"替换包含 "的字符串，下面是我尝试过的程序 String s="\"/test /string\""; s = s.replaceAll("\"", "\\\"");
JavaScript 替换？
var text = "a's ..a's ...\"... "; text = convert(text); function convert( text ) { var n = text
JavaScript 替换()
我正在尝试使用 JavaScript 中的替换函数，但有一个问题。 strNewDdlVolCannRegion = strNewDdlVolCannRegion.replace(/_existing
Javascript 替换
好吧，首先我对我的上一篇文章感到非常抱歉，但我真的需要帮助，我会把我真正想要的东西放在一个更清晰的代码中。我不擅长 javascript，所以希望你能帮助我。
Python拆分、替换
我正在写一张纸条，遇到了障碍。可能有更有效的方法来执行此操作，但我对 Python 还很陌生。我正在尝试创建用户生成的 IP 地址列表。我正在使用 print 来查看生成的值是否正确。当我运行此代码时

首页

博学

6Ren·AI

商城

asp.net - 将 FormsAuthentication 替换为 SessionAuthenticationModule (SAM) 以实现 Claims Aware 身份