Πρώτα Βήματα - Web Development

Απ: session never expires

alex_VB — Sat, 19 Jun 2010 00:58:39 GMT

Νικο βοήθησες πάρα πολύ με τα video παρόλο που το θέμα είχε σχέση με το timeout. Αυτό ακριβώς ήθελα να κάνω και το έκανα με remember me check box κατά το login.

Σε ευχαριστώ πάρα πολύ.

Απ: session never expires

nikolaosk — Fri, 18 Jun 2010 19:28:08 GMT

Μάνο το έκανα για να φαίνονται κάποια πράγματα. Μάλλον να το αλλάξω.

Παναγιώτη δεν έβαλα μόνο ένα video. έγραψα και άλλα πράγματα. Δεν ξέρω αν τον βοήθησε τον άνθρωπο ή όχι. Δεν το έκανα για να μπερδέψω κανένα. Το video σου δίνει να καταλάβεις κάποια πράγματα.

Απ: session never expires

Παναγιώτης Καναβός — Fri, 18 Jun 2010 17:47:19 GMT

Και επίσης Νίκο, πρόσεχε λίγο το θέμα της συζήτησης. Δεν συζητάμε για το πως γίνεται το Forms Based Authentication. Όταν έχουμε φτάσει στο ζήτημα του timeout υποθέτω ότι έχει ήδη καλυφθεί. Άσε που "ρίχνοντας" ένα video το οποίο μοιάζει να έχει σχέση με τη συζήτηση δεν βοηθάς, μπερδεύεις.

Απ: session never expires

KelMan — Fri, 18 Jun 2010 17:36:25 GMT

Ρε Νίκο έλεος! Πόσα διαφορετικά text-styles μπορείς να βάλεις σε ένα post;

Απ: session never expires

nikolaosk — Fri, 18 Jun 2010 08:02:17 GMT

Οκ, εσύ έχεις στο μυαλό σου να κάνεις ένα fuctionality. Το fuctionality του "Remember Me". αλλά δεν θέλεις και δεν πρέπει να το κάνεις με Session variables. Αυτό γιατί, για λόγους performance δεν μπορείς να έχεις μεγάλο session time out. Επίσης δεν παίζει αυτή η λύση ακόμα και αν "αυξήσεις" το Session timeout time του Session state από το web.config, όταν ο user κλείσει καταλάθος τον browser. Τότε θα χαθεί το session άσχετα με τoν timeout χρόνο.

Οπότε εσύ θα έχεις πάει κάποια στιγμή σε κάποιο site, θα έχεις κάνει login, και θα έχεις πάει πάλι μετά από 3 μέρες και το site σε θυμάται. Και θέλεις να κάνεις το ίδιο. Θα κάνεις αυτό που λέει ο Παναγιώτης. θα παίξεις με forms based authentication με cookies

Αν θες βλέπεις αυτό εδώ

Στο cookie μπορείς να αποθηκεύσεις (user credentials) μέχρι να το σβήσει κάποιος. Με αυτό τον τρόπο δεν χρειάζεται να κάνει re-login κάθε φορά που επισκέπτεται το site. επίσης μπορεί ο χρήστης από το browser settings να κάνει block τα cookies.

αυτός είναι ένας κίνδυνος που θα πρέπει να "ζήσεις"....

Για το πως υλοποιείται αυτό, θα πρέπει να δεις την SetAuthCookie()

Δώσε βάση στο δεύτερο Parameter της παραπάνω function

createPersistentCookieType: System..::.Boolean
true to create a persistent cookie (one that is saved across browser sessions); otherwise, false.

και την RedirectFromLoginPage() και την FormsAuthenticationticket class. φυσικά θα γράψεις λίγο κώδικα.

Όταν κάποιος κάνει log in στο site, τσεκάρεις το username και password σε σχέση με τα στοιχεία που υπάρχουν σε κάποιο πίνακα στην βάση.

αν γίνει match σε κάποιο event, μπορείς να γράψεις κάτι σαν

FormsAuthentication.SetAuthCookie(username.Text True)

και μετά για να δεις ότι κάποιος είναι logged in


 If Context.User.Identity.IsAuthenticated Then...

θα πας και στο web.config και κάπου θα κάνεις το εξής

<authentication mode="Forms">
      <forms loginUrl="register.aspx" .......... timeout="5000">
      </forms>
    </authentication>



δες  και αυτό εδώ

το 5000 είναι Minutes, οπότε αυτό σημαίνει 3,5 μέρες.... χωρίς να γίνονται logged out.

Απ: session never expires

alex_VB — Fri, 18 Jun 2010 05:27:10 GMT

Παναγιώτη έθιξες ένα πολύ ωραιο θέμα. Αυτό που ζητήται είναι να μην γίνεται συνεχώς redirect στη σελίδα login.

Πως μπορώ να το πετύχω αυτό με cookies Forms Based Authentication?

Τι πρόβλημα δημιουργείται αν αφήσω το session ενεργό για μεγάλο χρονικό διάστημα?

Σε ευχαριστώ.

Απ: session never expires

anjelinio — Wed, 16 Jun 2010 19:31:36 GMT

Παναγιώτης Καναβός:
... ή χρησιμοποιώντας τα cookies του Forms Based Authentication. Έτσι κι αλλιώς, το authentication timeout ελέγχεται από το <authentication><forms> timeout attribute και όχι από το SessionState

Άκου τον Παναγιώτη φίλε, αυτή είναι η λύση στο πρόβλημά σου - θα γράψεις και λίγο πιο ενδιαφέροντα κώδικα επίσης

Απ: session never expires

nikolaosk — Wed, 16 Jun 2010 02:04:59 GMT

Ο δημήτρης έθιξε , σωστά, το θέμα του security.

υπάρχει και το θέμα του Performance. αν το κάνεις από το web.config το session timeout σε 365 μέρες, θα ισχύσει για όλα τα sessions, δηλαδή για όλους τους users.....

Μην αναρωτηθεί μετά ο πελάτης σου που πήγε όλη η μνήμη.....

Απ: session never expires

Παναγιώτης Καναβός — Wed, 16 Jun 2010 02:03:54 GMT

Ο πελάτης ζήτησε να μην λήγει το session ή να μην του ζητάει συνέχεια login? Γιατί το δεύτερο μπορείς να το πετύχεις καταρχήν χρησιμοποιώντας Windows Authentication (αν μιλάμε για intranet περιβάλλον) ή χρησιμοποιώντας τα cookies του Forms Based Authentication. Έτσι κι αλλιώς, το authentication timeout ελέγχεται από το <authentication><forms> timeout attribute και όχι από το SessionState

Πρωτού απορρίψεις αυτά που σου ζητάει ο πελάτης σου καλό θα είναι να καταλάβεις τί είναι αυτό που πραγματικά ζητάει και να μην προσηλώνεσαι στο πως θα το κάνεις, ή πως σου λέει αυτός να το κάνεις.

Απ: session never expires

alex_VB — Wed, 16 Jun 2010 01:32:38 GMT

Όντως το ζήτησε πελάτης. Του το είπα ήδη οτι ειναι καλό να τον πετάει έξω και οτι υπάρχει σκοπός για αυτό. Είμαι σίγουρος πως ξέρεις καλά τον Έλληνα πενηντάρη πελάτη οπότε δεν χρειάζεται να σου αναλύσω την απάντηση του.

Σε ευχαριστώ πάρα πολύ.

Απ: session never expires

Dimitris Papadimitriou — Tue, 15 Jun 2010 18:27:52 GMT

Δες τα δυο παρακάτω άρθρα:

http://msdn.microsoft.com/en-us/library/ms972429.aspx

http://msdn.microsoft.com/en-us/library/system.web.sessionstate.httpsessionstate.timeout.aspx

Σύμφωνα με το documentation η μεγαλύτερη τιμή που μπορεί να πάρει το timeout είναι ένας χρόνος. Δεν νομίζω ότι θέλεις κάτι τέτοιο.

Φαντάζομαι ότι αυτό είναι απαίτηση πελάτη; Οφείλεις να ενημερώσεις ότι κάτι τέτοιο είναι πρόβλημα ασφάλειας. Είναι καλό που και που να "πετάει" έξω τους χρήστες και αυτοί να ξανακάνουν login.

session never expires

alex_VB — Mon, 14 Jun 2010 23:03:00 GMT

Καλησπέρα σε όλους.

Θα ήθελα τη βοηθειά σας σχετικά με το τί δηλώσεις θα πρέπει να κάνω στο web config ώστε το session να μη κάνει ποτέ expire και πετάει τους χρήστες στη login page.

Ευχαριστώ πολύ.