cerhu > microsoft.* > microsoft.dotnet.aspnet

Oriane (16/01/2009, 16h01)
Bonjour

avec Asp.Net 2.0 je'utilise le composant Login qui permet de garder le
"login/mot de passe" de la dernière connexion. Pour moi il y a donc création
d'u cookie sur le disque du PC connecté.

Mes utilisateurs intranautes me disent que de ci de là cette "dernière
connexion" est perdue et il doivent retaper leur login/mot de passe.
Savez-vous pq ? Y a-t-il une période d'expiration pour le cookie ?

Merci d'avance

Cordialement
Oriane (16/01/2009, 16h16)
Bon j'ai trouvé :

<authentication mode="Forms" >
<forms timeout="44000" slidingExpiration="true" />
</authentication>
Oriane (16/01/2009, 16h33)
Bon finalement je suis pas sûr d'avoir compris. Il y a apparemment une
notion de timeout pour la session et pour l'authentification.
Pour la session, cela veut dire qu'on doit se relogger après X minutes
d'inactivité.
Pour l'authentification, cela veut dire qu'on perd les infos
d'authentification après X minutes.
Jusque là, est-ce clair et surtout vrai ?
Donc je suppose que le timeout ci-dessous concerne l'authentification...

"Oriane" <oriane> a écrit dans le message de
news:1425
[..]
Christophe RIT [MS] (17/01/2009, 00h41)
Bonsoir,

Le paramètre que vous indiquez correspond effectivement au laps de temps au
bout duquel un utilisateur doit se reconnecter (30 min par défaut en Asp
..Net 2.0). C'est le délai d'expiration du ticket de sécurité. Attention avec
le paramètre slidingExpiration (qui est vrai par défaut). Il demande à Asp
..Net de ne mettre à jour le cookie que si >50% du temps (donc plus de 15min
par défaut) s'est écoulé.
Prenons l'exemple d'un utilisateur qui se connecte à 12h00. L'expiration
d'origine est donc prévue pour 12h30. S'il se reconnecte à 12h14,
l'expiration reste à 12h30... donc le délai entre l'inactivité et l'arret
est de 15min. S'il se reconnecte à 12h16 alors l'expiration passe à 12h46.
Donc le délai varie entre 50 et 100% du timeout.

Quoi qu'il en soit le ticket est enregistré dans un cookie. C'est d'ailleurs
la raison d'être du sliding : evitez les alertes de sécurités pour les
postes qui sont configuré pour lever une boite de dialogue sur l'arrivée de
cookie.

De manière plus globale, pour une session, la persistence des infos
fluctuent : par défaut, l'état de session est conservé dans un cookie
suivant le délai défini dans
<sessionState. timeout="40". cookieless="true|false". />.
Vous remarquerez le flag cookieless : Pour les postes qui ne peuvent
accepter les cookies, il s'agit de faire transiter l'état de session comme
un ID dans l'url.
Enfin pour les informations non sensibles d'un point de vue sécurité, vous
pouvez utiliser des cookies permanents dans vos applications mais pour les
logins, je ne saurai trop vous le déconseiller.

L'article suivant semble une bonne source d'information sur le sujet
[..]

HTH,
C.

"Oriane" <oriane> wrote in message
news:9b6a
[..]
Oriane (19/01/2009, 15h12)
Bonjour Christophe,

et merci de votre réponse.
"Christophe RIT [MS]" <chrisrit> a écrit dans le
message de news:1272
> Bonsoir,
> Le paramètre que vous indiquez correspond effectivement au laps de temps
> au bout duquel un utilisateur doit se reconnecter (30 min par défaut en
> Asp .Net 2.0). C'est le délai d'expiration du ticket de sécurité.
> Attention avec le paramètre slidingExpiration (qui est vrai par défaut).
> Il demande à Asp .Net de ne mettre à jour le cookie que si >50% du temps
> (donc plus de 15min par défaut) s'est écoulé.

Oui mais dans ce cas ce n'est pas ce paramètre que je veux contrôler. Que la
session expire au bout de 30' me va très bien. Mais je veux que si
l'internaute se reconnecte sur le même PC N jours après, il voit les
informations de login/mot de passe préremplies, s'il a coché la casse
"Rappelez vous de moi" (intégrée au composant Login de Asp.Net)
> L'article suivant semble une bonne source d'information sur le sujet
> [..]

Oui il parle de session mais apparemment ce n'est pas le sujet qui me
concerne !
Cordialement
Oriane (19/01/2009, 17h57)
En fait je crois comprendre ce qui se passe. Lorsque l'utilisateur reste
inactif + de 30', il est déloggé et là il doit retaper ses informations
d'authentification car le cookie a été effacé même s'il est permanent.

Donc la solution serait d'allonger le temps d'expiration de la session, même
si ce n'est pas ce que je veux faire.
Delf (12/02/2009, 14h31)
On 19 jan, 16:57, "Oriane" <ori...@noemail.noemail> wrote:
> En fait je crois comprendre ce qui se passe. Lorsque l'utilisateur reste
> inactif + de 30', il est déloggé et là il doit retaper ses informations
> d'authentification car le cookie a été effacé même s'il est permanent.


Ce cas n'est pas géré par le navigateur lui-même ?

Par exemple, il fait sur un site sur lequel j'ai un compte.
Même 3 mois après ma dernière visite, le formulaire d'auth se
prérempli car j'ai autorisé le navigateur à mémoriser ces
informations.
Discussions similaires
Cookie, Probleme d'ecriture !!!

Gros problème de cookie

Problème avec MIT-MAGIC-COOKIE-1

Probleme de cookie et de caracteres speciaux


Fuseau horaire GMT +2. Il est actuellement 16h02. | Privacy Policy