在FormsAuthenticationTicket中可以设置什么？

Question

关于FormsAuthenticationTicket和实际的cookie容器，我仍然有些困惑。

1. DateExpiration在FormsAuthenticationTicket()中指的是什么？饼干是在那时死的吗？这是用户可以在没有任何活动操作(即超时)的情况下登录多久吗？
3. DateExpiration集在FormsAuthTicket中和您为cookie (authCookie.Expires)设置的那组有什么区别？

谢谢

Answer 1

1. FormsAuthenticationTicket.Expiration是票过期的时间。票证过期日期/时间存储在加密的票证中，因此与cookie过期时间无关。请注意，客户端可以看到和篡改cookie过期时间，但不应该能够篡改加密的票证。

它控制用户可以在不重新认证的情况下访问站点的时间。

1. 来自web.config的值用于构建票证。您还可以用您想要的任何值构建自己的票证，对其进行加密，并将其存储在cookie中。在FormsAuthenticationTicket类的MSDN文档中有一个这样的例子。

更新

这篇MSDN文章有关于这个问题的信息。如果保护设置为web.config中的所有，则使用machineKey元素上指定的算法加密票证。根据SHA1，默认的是这篇文章和AES。

如果您想查看未加密的票证，可以在您的protection=中设置“无”，尽管您通常不希望在生产应用程序中这样做。

您还可以使用诸如Lutz这样的工具来检查FormsAuthentication和FormsAuthenticationTicket类的来源，以了解如何生成票据。