在 session 超時后,Internet Explorer 不提示 windows 身份驗證
[英]Internet Explorer does not prompt for windows authentication after session timeout
問題描述
我對 SSRS 報告管理器 web 應用程序有疑問(但我再次將此視為典型的 ASP.Net 應用程序問題)。
此應用程序配置為使用 Windows 身份驗證,用戶通常使用 Internet Explorer 訪問應用程序。 該應用程序還具有 20 分鍾的 session 超時設置。
問題(已被解釋為信息安全問題:( )是,如果用戶在此應用程序上閑置超過 20 分鍾,他仍然可以回來繼續處理任何問題。他們說這不是超時根本沒有,因為他們沒有得到登錄提示。
當我運行 Fiddler 時,我觀察到 20 分鍾后的第一個請求,實際上是 401,這意味着服務器已拒絕該請求。 在那之后,我相信 Internet Explorer 會發送緩存的憑據。 因此,不會出現登錄提示。
我的問題是這些 1. 在session 超時后,IE 是否可以發送緩存的憑據? 任何微軟鏈接/參考? 2. 有什么方法可以在 session 超時后強制出現登錄對話框? (我從 IE 設置選項卡和高級選項卡中刪除但沒有運氣)
1 個解決方案
解決方案1
0 已采納 2011-07-20 19:36:10
他們是一篇非常好的博客文章,討論了幾個不同的選項,但最好的方法是讓您的應用程序檢測 session 超時並發送 401 響應代碼。
另一種(更好的)方法是不使用 Windows 身份驗證,並實現您自己的登錄界面。 這在 ASP.NET 中非常簡單。
如果您無法控制您的應用程序,而且聽起來您沒有,那么您無能為力。
但是,這並不能解釋您試圖通過強制用戶手動登錄來實現什么,如果他們的 session 過期則重新登錄。 如果您希望他們讓他們的計算機保持解鎖狀態,那么您唯一可以從強制用戶手動登錄您的網站中獲得任何收益的情況 - 但無論如何您已經有一個巨大的安全漏洞。 這就像在你的車里把 windows 卷起來,然后讓車門解鎖,鑰匙在車頂上。
Internet Explorer的“可選” Windows集成身份驗證
[英]“Optional” windows integrated authentication for Internet Explorer
使用Internet Explorer進行IIS Windows身份驗證自動登錄
[英]IIS Windows Authentication auto-logon with Internet Explorer
使用Internet Explorer時,為什么ASP.NET在會話中間啟動新會話?
[英]Why does ASP.NET start a new session in the middle of a session when using Internet Explorer?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Windows身份驗證會話超時
Windows身份驗證和會話超時
Windows身份驗證 - Chrome與Internet Explorer
Internet Explorer的“可選” Windows集成身份驗證
使用Internet Explorer 8的prompt()
使用Internet Explorer進行IIS Windows身份驗證自動登錄
Internet Explorer中的圖像加載超時
表單身份驗證在Internet Explorer上不起作用
Internet Explorer中的會話狀態問題!
使用Internet Explorer時,為什么ASP.NET在會話中間啟動新會話?
相關標簽