回收应用程序池后,CookieAuthentication cookies无效
是因为在回收应用程序池的过程中,会导致应用程序的状态被重置,包括已经颁发的Cookie信息也会被清除,导致无效。
CookieAuthentication是一种身份验证方式,它通过在客户端存储一个加密的Cookie来跟踪用户的身份认证状态。当应用程序池被回收时,会导致所有已经颁发的Cookie被清除,这样之前认证的用户就会失去身份认证状态,需要重新登录。
为了解决这个问题,可以考虑以下几种方法:
- 使用持久化的Cookie:可以将Cookie的过期时间设置得更长,或者使用持久化Cookie,使其在回收应用程序池后仍然有效。可以通过设置Cookie的Expires属性或者使用RememberMe选项来实现。
- 使用外部存储:将Cookie的信息存储在外部的持久化存储中,如数据库或缓存系统。这样即使应用程序池被回收,Cookie的信息仍然可以从外部存储中获取,保持用户的身份认证状态。
- 使用无状态身份验证:无状态身份验证是一种不依赖于服务器端状态的身份验证方式,可以使用JWT(JSON Web Token)来实现。JWT将用户的身份信息加密在Token中,服务器端不需要存储任何状态信息,因此即使应用程序池被回收,用户的身份认证状态也不会丢失。
腾讯云相关产品推荐:
- 腾讯云COS(对象存储):用于存储和管理Cookie信息的外部存储,提供高可靠性和可扩展性。详情请参考:腾讯云COS
- 腾讯云SCF(云函数):可以用于处理用户身份认证和生成持久化的Cookie。详情请参考:腾讯云SCF
- 腾讯云API网关:用于实现无状态身份验证和JWT的生成与验证。详情请参考:腾讯云API网关
请注意,以上推荐的产品仅为示例,其他云计算品牌商也提供类似的产品和解决方案。
相关·内容
1回答
单例对象和AppPool回收
caching、iis、asp.net-web-api2、application-singleton
我目前正在构建根据Kerberos域控制器对用户进行身份验证的rest服务。由于每次用户尝试在系统中执行操作时插入KDC非常耗时,因此我有一个缓存来存储身份验证令牌及其相关的主体。
因此,基本上,我的服务提供了两种身份验证方案: Kerberos和by token。我遇到的问题是,当回收应用程序池时,我的缓存对象(在DI容器中被定义为单例)丢失了。此外,即使应用程序池没有被回收,这种行为也会阻止我在多个服务器上分发我的服务。
如何在应用程序池中持久化缓存对象?
浏览 2提问于2015-03-12得票数 1
1回答
托管在Amazon上的微服务应用程序中的用户身份验证
amazon-web-services、authentication、architecture、microservices、amazon-cognito
我正在构建基于微服务架构的web应用程序。目前,我正在考虑几种用户身份验证流的方法。我预测了以下示例用户角色:
admin -能够创建内容、上传文件等(管理帐户只能由另一个管理员创建)
未经授权的用户-可以查看内容
授权用户-可以评论内容
以下是到目前为止我是如何考虑身份验证流的:
身份验证服务-具有用户凭据和权限的数据库访问权限
api网关-从用户检索请求,检查用户是否登录(即用auth服务验证OAuth2访问令牌),并根据用户请求(使用一些基本用户信息附加JWT令牌)将流传输到其他服务。
另一个服务--只接受来自api网关的请求,并信任来自JWT令牌的用户数
浏览 3提问于2017-03-27得票数 4
1回答
Spring Cloud Gateway Oauth2Login登录成功返回JWT Token,而不是SESSION Cookie
spring-boot、spring-security、spring-cloud、spring-security-oauth2、spring-cloud-gateway
如果之前有人问过这个问题,我很抱歉,但我一直无法找到答案。 我正在尝试将Spring Cloud Gateway设置为一个OAuth2客户端,通过Keycloak Authentication服务器对用户进行身份验证/登录。我已经能够使用以下代码片段来实现这一点: 安全配置: @Configuration
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {
private final GatewayAuthenticationSuccessHandler gat
浏览 88提问于2020-07-15得票数 1
1回答
在无状态web API中实现客户用户请求安全性的最佳方法是什么?
api、security、jwt、token、stateless
有一个现有的有状态的web将被无状态实现所替代。
目前有下列类型的活动用户会话:
临时来宾用户(还没有什么值得保存的东西)。用户有标识符,但没有password.Persistent来宾用户(有一些相关的有价值数据,例如购物车、收藏夹等)。
用户有标识符,但没有密码。通过cookie进行识别和认证。可以通过注册将会话转换为类型3。将删除会话,并在已登录的login.Persistent注册用户上启动类型3的新会话。用户有标识符和密码。通过凭据或cookie进行标识和身份验证。会话在注销时被删除。
因此,我正在寻找一些最佳实践来以无状态的方式为这三种类型的会话实现类似程序。
看起来,使用JWT令
浏览 0提问于2020-06-19得票数 1
1回答
维护会话状态数据,使其与身份验证cookie相关联
asp.net、forms-authentication、session-state
我正在开发一个ASP.NET MVC3应用程序,它本质上是一个数据库的代理。要登录,用户必须提供其数据库用户名和名称。(我知道使用数据库用户作为应用程序用户不是一个好主意,但是数据库不是我设计的,所以不要责怪我。)
当我的用户登录时,我希望将他们的用户名和密码存储在会话变量中:
Session["UserID"] = TheConnectionStringBuilder.UserID;
Session["Password"] = TheConnectionStringBuilder.Password;
但是,会话状态本质上并不绑定到身份验证cookie,这可能会
浏览 1提问于2011-05-19得票数 0
回答已采纳
请描述您的问题
标题:存储桶概述 - 对象存储 - 产品文档 - 帮助与文档 - 腾讯云
地址:https://cloud.tencent.com/document/product/436/6244
浏览 975提问于2018-01-31
1回答
根据文件和请求对s3请求进行身份验证
amazon-web-services、authentication、amazon-s3、jwt
假设我想为在s3上使用我的网站的每个用户存储一些文件。稍后,我希望对s3的每个请求进行身份验证,以确保用户可以访问她所请求的文件。我猜这不能使用预签名的URL或签名的cookie(使用云前端)来完成。那么,我应该使用哪个Amazon服务来实现这一点呢?实现这一目标的最简单方法是什么?假设我正在使用jwt对用户进行身份验证,并且可以通过jwt的文件名和内容来识别用户是否有权访问文件。
浏览 0提问于2020-06-12得票数 0
1回答
在移动应用程序上存储会话令牌的最佳方法
authentication、mobile、oauth2、sso、saml
背景
为产品X构建移动应用程序,该应用程序目前作为SaaS解决方案承载。产品X目前不支持OAuth,实现基本身份验证,并在身份验证后生成会话令牌。产品X还实现了支持本地SAML2.0的SSO。
用例
移动应用程序还使用现有的SSO框架实现SSO。在这个移动应用程序中,调用SSO和身份验证时,IDP重定向回SaaS应用程序,该应用程序在接收SAML令牌时发出会话令牌,然后传递给移动应用程序。然后,移动应用程序使用会话令牌调用Product (与SaaS应用程序一起托管)
问题
根据组织安全推荐会话,移动令牌存储是不安全的。他们推荐OAuth/JWT令牌。
可选解决方案
产品X实现了OAuth -
浏览 0提问于2020-04-28得票数 0
1回答
在InProc中使用会话状态时对会话使用Asp.Net内存
asp.net、asp.net-mvc、iis-7
我有一个MVC3应用程序,直到最近才开始使用InProc进行会话管理。由于应用程序池被回收导致的随机注销,我不得不切换到会话状态方法。
问题是,我有一个复杂的“运行时”会话变量,它是不可序列化的。主要原因之一是,我有一个javascript.net实例正在运行,控制器/模型广泛使用该实例。
在会话身份验证由“会话状态”方法处理时,是否有任何方法来保持这样的“InProc”变量?如果我能做到这一点,那么如果应用程序池被回收,那么所有的数据就会丢失吗(因此,与以前的问题完全相同)。
浏览 4提问于2014-04-11得票数 0
回答已采纳
2回答
Cookie身份验证早期终止
c#、asp.net-mvc、asp.net-core-2.0
问题
在我的ASP.NET MVC Core2.0应用程序中,我设置了不使用身份的cookie身份验证方案,因为我们有自己的后端身份验证存储和api。
每次认证和授权都能很好地工作。
但是,无论登录/会话是什么,在大约30分钟后到期。您可以看到,我们将身份验证cookie和会话cookie的超时设置为120分钟。
应用程序信息:
平台:.Net 4.7.x (Windows)
框架: Asp.Net核心2.x
用作代理服务器的IIS
任何关于如何解决这个问题的帮助或意见都将受到欢迎。
代码
更新:用services.AddDistributedRedisCache(..)代
浏览 0提问于2018-04-18得票数 5
回答已采纳
4回答
请描述您的问题
标题:OCR - 身份证识别 - 智能图像服务 - 产品文档 - 帮助与文档 - 腾讯云
地址:https://cloud.tencent.com/document/product/641/12424
浏览 1965提问于2018-02-06
1回答
如何使用API Gateway Cognito Authorizer对来宾/未认证用户进行身份验证?
amazon-web-services、aws-api-gateway、amazon-cognito
在API网关中,您可以设置一个引用Cognito User Pool进行身份验证的Cognito Authorizer。为了进行验证,API Gateway期望在Authorization头中设置Cognito User Pool JWT令牌。 使用'aws-sdk‘和’amazon-cognito identity-js‘NPM包,我如何创建来宾/未经身份验证的用户并检索JWT令牌以传递到API网关?所谓访客/未认证,我的意思是甚至没有用户名或电子邮件。或者,这在当前的API中是不可能的吗? Amplify (构建在Cognito之上)似乎有类似的东西:https://docs.a
浏览 9提问于2021-06-22得票数 0
回答已采纳
1回答
作为登录替代品的aws cognito
security、amazon-web-services、oauth、jwt、amazon-cognito
我有一个ASP.net应用程序,它当前使用JWT令牌进行身份验证,并将UserNames +安全角色列表存储在数据库中。
由于我们在AWS上托管了这个应用程序,我想知道我是否还没有重新发明轮子。AWS Cognito似乎提供了类似的服务,但我不太清楚Cognito是否可以用来替代我自己的实现。
长话短说,我宁愿将登录名和密码存储在某个安全的AWS存储中,并使用经过尝试和信任的角色模型-而不是在我自己的应用程序中重建和存储登录名等。
有没有人能告诉我,cognito是不是合适的产品,或者有没有更好的产品?
浏览 0提问于2015-10-05得票数 1
1回答
重用本地存储凭据登录Ionic应用程序安全吗?
security、authentication、ionic-framework、local-storage、ionic4
我正在开发一个处理身份验证的Ionic应用程序,如下所示:
当打开应用程序时,用户需要输入他的凭证(登录,密码)。
一旦完成,应用程序将从服务器请求一个JWT令牌。
然后将用户名、密码和JWT令牌存储在用户的本地存储区(使用@离子型本机/存储)。
稍后,如果用户重新打开应用程序,身份验证将自动进行。
从本地存储重用令牌(如果未过期)
或请求具有存储在本地存储中的凭据的新凭据。
所有这些都是为了自动化身份验证,并避免每次都要求用户进行身份验证。
实现安全吗?如果不安全,风险是什么?
谢谢你的帮助。
浏览 0提问于2019-08-22得票数 2
1回答
MVC3中的表单身份验证票证空问题
asp.net-mvc-3、autofac、form-authentication
MVC3应用程序中身份验证cookie (.ASPXAUTH)间歇性丢失的原因是什么?
我检查了一下cookie的大小,大概有2kB。
它在登录过程中没有任何问题,在站点中执行的操作很少。但是在执行了一个特定的操作之后(我从服务器返回了一个pdf文件,cookie原封不动地放在那里),它会为很少的用户丢弃。
用户在执行某些操作后注销系统,是否还有其他原因?
浏览 0提问于2012-11-16得票数 0
回答已采纳
1回答
STORM CRAWLER :通过基本身份验证从单独的链接生成cookie,并使用cookie爬行seeds.txt中的链接
cookies、forms-authentication、apache-storm、stormcrawler
我要抓取的网站是通过第三方基本身份验证启用的。例如,需要抓取的url是。url首先被重定向到另一个页面:,它允许进行基本身份验证,在传递有效的用户名和密码时,它使用cookie登录到。
如何在storm crawler中实现上述认证?
浏览 0提问于2018-03-09得票数 0
3回答
点开磁盘管理后没有磁盘1只有磁盘0?
云服务器、官方文档
请描述您的问题
标题:快速入门 Windows 云服务器 - 云服务器 - 产品文档 - 帮助与文档 - 腾讯云
地址:https://cloud.tencent.com/document/product/213/2764
浏览 1736提问于2018-01-31
2回答
MIcroservice:身份验证的最佳实践
rest、architecture、microservices
我正在考虑在我的应用程序中使用微服务。但是,应用程序涉及身份验证。例如,有一个服务,用户可以上传他们的图像,如果他们是认证的。如果他们通过了身份验证,还有一项服务可以让他们写评论。
我应该如何设计微服务,以确保用户只需进行一次身份验证即可访问不同的服务。我是否应该有一个API网关层来执行身份验证,并使此API网关与不同的服务进行通信?
浏览 1提问于2018-11-26得票数 0
1回答
使用AWS认知超过快门会话进行会话管理
jwt、amazon-cognito、express-session
我在我的应用程序中使用AWS认知技术对用户进行身份验证。AWS为我们提供了JWT令牌。我的问题是,我们是否需要使用快捷会话来处理会话管理,还是AWS认知提供的JWT令牌来处理经过身份验证的用户的会话管理。
浏览 1提问于2017-10-13得票数 1
回答已采纳
2回答
将JWT存储在基于会话的cookie角6中
angular、cookies、jwt、session-cookies、auth0
我对角度开发很陌生,我想知道存储JWT的正确方法是什么?
我正在使用Auth0认证在角6.1单页应用程序中开发应用程序。
身份验证完成后,Auth0返回一个JWT (访问令牌(Jwt)),然后应用程序将其存储在本地存储中。然后,客户端应用程序对api中的授权修饰方法(MVC C#)进行post调用,以验证对api资源的访问。api使用OWIN并进行验证。
虽然访问令牌中有颁发者和访问者的值,这是由OWIN中间件检查的,但我担心的是,任何人是否可以从本地存储访问它,并在以后重新使用它,并通过传递登录过程?
我是否应该将"access_token“存储在服务器端的会话cookie中?
如有
浏览 2提问于2018-09-13得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
