asp.net – 将persistentCookiesOnPassiveRedirects设置为true实际上做了什么?

使用WIF时,客户端可以设置persistentCookiesOnPassiveRedirects,默认情况下为false.这是提供的定义:

persistentCookiesOnPassiveRedirects: Specifies whether persistent
cookies are issued when the module is enabled to initiate
WS-Federation passive protocol redirects. A persistent cookie will
outlast user sessions.

好吧,听起来很清楚,但我仍然没有得到它,改变true / fasle之间的值似乎没有任何区别.是否有关于在单独的浏览器中提取另一个站点以信任相同的STS提供程序并使其成为用户不必再次登录的任何事情?

我想一个站点和STS协同工作的例子对于准确解释这个设置的作用非常有帮助.谢谢!

最佳答案 这意味着WIF发布的FedAuth cookie将是持久的(而不是与用户会话相关联).如果您关闭浏览器并再次打开它,cookie仍将发送到您的站点,并且不会发生令牌协商(您将不会被重定向到STS).

如果为false,则每次关闭浏览器并再次打开它时,将触发协商,因为不再有令牌. (Cookies是WIF存储安全令牌信息的地方).

请注意,STS本身也会发出cookie(与您的应用程序不同),并且那些可能是持久的,因此即使您将标志设置为false,第二次实际身份验证也可能不会发生.

另请注意,WIF可以选择在其他地方(服务器端)存储所需的信息.

最后但并非最不重要的是,令牌可能会过期,在这种情况下,无论标志如何都将触发协商.

点赞