asp.net-mvc – Cookie过期或会话超时太早

FormsAuthentication cookie是一个加密的cookie,其中包含一些基本信息,如用户名和到期值.一旦用户通过身份验证,.NET应用程序将使用此cookie来知道用户是否被授权使用某些资源.

控制FormsAuthentication cookie的加密和解密是IIS上该Web应用程序的MachineKey. MachineKey是用于加密和解密cookie的一组密钥.默认情况下,IIS上的Web应用程序设置为AutoGenerate机器密钥.这意味着当应用程序启动时,会生成随机机器密钥.如果一个应用程序回收,你会得到一个新的机器密钥.此外,如果您在共享提供商上托管,则Web主机通常会使应用程序负载平衡,这意味着由多个服务器托管.这些服务器中的每一个将自动生成机器密钥.

如果您的Web应用程序处于负载平衡的场景,则Web场中的每台计算机都无法解密对方的加密cookie.这将显示“正在登出”.其示例是登录到Web服务器A,然后后续请求发送到Web服务器B. Web服务器B不与Web服务器A共享机器密钥,并且无法解密cookie,将用户发送回登录页面.

解决方案是在web.config中定义MachineKey部分,因此IIS的每个实例将使用相同的密钥以及应用程序池的回收,您仍然拥有相同的机器密钥.

这可能是您可以在您的web.config中放置的example machine key

<system.web>
  <machineKey validationKey="EBC1EF196CAC273717C9C96D69D8EF314793FCE2DBB98B261D0C7677C8C7760A3483DDE3B631BC42F7B98B4B13EFB17B97A122056862A92B4E7581F15F4B3551" 
    decryptionKey="5740E6E6A968C76C82BB465275E8C6C9CE08E698CE59A60B0BEB2AA2DA1B9AB3" 
    validation="SHA1" decryption="AES" /> 
</system.web>

额外的想法是,您的web.config(2880)中的到期时间和您实际设置的到期时间(120)不匹配.你可能希望他们都匹配.