认证Cookie在短时间内(一天左右)似乎超时。我正在使用表单身份验证,并在web.config中使用slidingExpiration =“false”来设置timeout =“10080”。使用该设置,Cookie应在用户成功认证后大约7天到期。
这与IIS6的广告一样工作,但是当我将站点移动到IIS7时,该cookie过期的时间要快得多。我已经通过IE和Firefox在多台机器上证实了这一点,导致我相信它是一个IIS7设置。
是否有一个隐藏的设置是IIS7具体涉及身份验证?除了匿名用户跟踪之外,所有其他身份验证类型都被禁用。
解决方法
认证cookie使用本地web.config或全局machine.config中的machineKey值进行加密。如果没有明确设置这样的密钥,将自动生成一个密钥,但不会永久保存到磁盘中,因此,无论何时应用程序重新启动还是“回收”,它将会更改,并且将在下一击。
解决问题就像添加< machineKey>一样简单配置部分到web.config,或者可能(最好是?)到服务器上的machine.config(未测试):
<system.web>
...
<machineKey
validationKey="..."
decryptionKey="..."
validation="SHA1"
decryption="AES"/>
...
</system.web>
Google generate random machinekey可以为您生成此部分的网站。如果您的应用程序处理机密信息,您可能希望自己创建密钥。
