什么是ASPXAUTH曲奇？

Question

在使用ASP.Net窗体身份验证时，我遇到了.ASPXAUTH cookie。我有几个问题：

• 这个饼干的目的是什么？
• 这块饼干的位置是什么？

Answer 1

ASPXAUTH cookie用于确定用户是否经过身份验证。

至于cookie的位置，这取决于您的浏览器。如果您正在使用火狐，您可以通过单击Tools -> Options -> Privacy来查看cookie。然后向下滚动到域并展开它，以查看cookie及其值。该值是使用机器密钥(位于服务器的machine.config或web.config文件中)加密的，因此查看客户机上的cookie不会真正为您提供任何信息。您可以使用以下方法解密/查看服务器端的值：

HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];//.ASPXAUTH
FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

其中authTicket有以下字段：

​

​

"ASPXAUTH基本用于维护ASP.NET会话状态“的语句是不正确的。ASP.NET发出一个完全不同的cookie，名为ASP.NET_SessionId，以跟踪会话状态。

Answer 2

实际上，.ASPXAUTH cookie并不能准确地告诉您何时才能真正对用户进行身份验证。当用户退出应用程序时，.ASPXAUTH cookie将从浏览器中删除。但是，如果您在很短的时间内返回站点(使用表单auth的超时时间)，并使用以下方法编辑新的ASP.NET_SessionId cookie：

• 将"name“字段从"ASP.NET_SessionId”改为".ASPXAUTH“
• 将“sessionID值”从24个字符更改为旧的448字符身份验证字符串

刷新后，您将能够假定身份验证用户的身份，而无需再次进行技术上的重新验证。(同样地，假设您在存储在.ASPXAUTH加密auth字符串中的指定超时时间内执行此操作)

一篇好的博客帖子更详细地解释了这个问题。一个可能的解决方案是将.ASPXAUTH与ASP会话耦合。

Answer 3

在Chrome 1.DeveloperTools -F12 2中，定位应用程序选项卡3。在登录应用程序时，如果ASPXAUTH用于可用会话，请指向cookie的左窗格。