我需要一个应用程序池回收,以完全透明的我的网络应用程序的用户.
目前,在IIS 7应用程序池回收所有登录到我的网络应用程序的用户被踢出并需要重新登录(Context.User.Identity.IsAuthenticated设置为false).我使用sql状态服务器,我使用表单身份验证,并且都配置为使用cookie.我的印象是.NET和/或IIS处理Cookie的身份验证.
然而,每次应用程序池被回收时,Context.User.Identity.IsAuthenticated设置为false(我不知道发生这种情况),我的用户被踢出来,需要重新登录.我可以看到会话id在整个登录过程中保持不变,我也可以在数据库/状态服务器中查看此会话信息.
我不知道这是一个会话还是一个cookie问题.
请帮忙!
登录方式:
public ActionResult logon(string userName,string password,bool rememberMe,string returnUrl) { if (!Validatelogon(userName,password)) { return View(); } FormsAuth.SignIn(userName,true); // uses FormsAuthentication.SetAuthCookie(username,true); Session["userName"] = userName; if (!String.IsNullOrEmpty(returnUrl)) { return Redirect(returnUrl); } else { return RedirectToAction("Index","Home"); } }
public class CookieAuthorizeAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(ActionExecutingContext filterContext)
{
HttpContext lvContext = HttpContext.Current;
if (!lvContext.User.Identity.IsAuthenticated)
{
lvContext.Response.Redirect("~/Account/logon");
}
else
{
FormsIdentity identity = (FormsIdentity)HttpContext.Current.User.Identity;
FormsAuthentication.RenewTicketIfOld(identity.Ticket);
}
base.OnActionExecuting(filterContext);
}
}
WebConfig:
<authentication mode="Forms"> <forms cookieless="UseCookies" loginUrl="~/Account/logon" slidingExpiration="true" name=".ASPXAUTH" requireSSL="false" timeout="2880" /> </authentication> <modules runAllManagedModulesForAllRequests="true"> <remove name="ScriptModule" /> <remove name="UrlRoutingModule" /> <remove name="Session" /> <remove name="FormsAuthentication" /> <add name="ScriptModule" preCondition="managedHandler" type="System.Web.Handlers.ScriptModule,System.Web.Extensions,Version=3.5.0.0,Culture=neutral,PublicKeyToken=31BF3856AD364E35" /> <add name="UrlRoutingModule" type="System.Web.Routing.UrlRoutingModule,System.Web.Routing,PublicKeyToken=31BF3856AD364E35" /> <add name="NHibernateMvcSessionModule" type="EpnNHibernateBase.NHibernateMvcSessionModule,EpnNHibernateBase" /> <add name="Session" type="System.Web.SessionState.SessionStateModule" /> <add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule" /> </modules>
解决方法
我能够自己找到一个解决方案.问题不在于如何以编程方式处理身份验证,或者如何验证用户.问题是我如何配置IIS / web.config中的身份验证.
我仔细按照以下链接中的步骤:
Configuring Forms Authentication (IIS 7)(每个相关部分分支)
@L_502_1@< - 特别是这一个 在紧跟这些步骤之后,我能够正确地生成机器密钥.
本机钥匙如下(配有钥匙):
<machineKey decryptionKey="ASDF3WS545AS5D4F8254A12DAFA5SDF7,IsolateApps" validation="3DES" validationKey="A65A6S5DF46ASD4F89WEF6SAD2F4A68EF4AW65F4D3A2F4AS6DF89A98D4F6A5SD4F6A5SDF46ASD8F4A6S5DF46AS5D4F6AS5DF49AS8DF46AS5D4F6AS5DF46SAD5F,IsolateApps" />
另外,web.config中的httpModules和system.webServer:modules部分需要添加以下模块:
<remove name="Session" /> <remove name="FormsAuthentication" /> <add name="Session" type="System.Web.SessionState.SessionStateModule" /> <add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule" />
总结:从收集的内容中,正在创建和加密Cookie,但由于没有机器密钥,因此无法解密cookie,从而需要重新认证.
