что такое aspxauth cookie?

при работе с ASP.Net формы аутентификации я наткнулся .ASPXAUTH cookie. У меня есть пара вопросов:

  • какова цель этого печенья?
  • где находится этот файл cookie?

3 ответов


файл cookie ASPXAUTH используется для определения подлинности пользователя.

что касается местоположения cookie, это зависит от Вашего браузера. Если вы используете Firefox, вы можете просмотреть файл cookie, нажав Инструменты - > Параметры - > Конфиденциальность. Затем прокрутите вниз до домена и разверните его, чтобы увидеть файл cookie и его значение. Значение шифруется с помощью ключа компьютера (расположенного на компьютере сервера.config или web.config file), поэтому просмотр cookie на клиенте не будет действительно предоставить вам любую информацию. Вы можете расшифровать / просмотреть значение на стороне сервера, используя:

HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];//.ASPXAUTH
FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

здесь authTicket имеет следующие поля:

enter image description here

оператор "ASPXAUTH в основном используется для поддержания ASP.NET состояние сеанса" неверно. ASP.NET выдает совершенно другой файл cookie с именем ASP.NET_SessionId, чтобы отслеживать состояние сеанса.


на самом деле .Файл cookie ASPXAUTH не точно сообщает вам, когда пользователь действительно аутентифицирован. Когда пользователь выходит из приложения .ASPXAUTH cookie удаляется из браузера. Однако, если вы вернетесь на сайт в течение короткого периода времени (с таймаутом формы auth cookie) и отредактируете новый ASP.Net_sessionid cookie со следующим:

  • изменить поле " имя "из" ASP.NET_SessionId "to".Aspxauth файл"
  • изменить "значение" от 24 char sessionID для старой строки аутентификации 448 char

после обновления вы сможете принять личность аутентифицированного пользователя без технической повторной аутентификации снова. (опять же, предполагая, что вы делаете это в пределах указанного тайм-аута, хранящегося внутри .ASPXAUTH зашифрованная строка аутентификации)

хороший блог post объясняет проблему более подробно. Возможным решением является пара .ASPXAUTH с сеансом ASP.


Если взаимодействие пользователя с URL-адресом входа HTML позволило TSWPPserver установить личность пользователя, удаленный сервер должен создать файл cookie, который идентифицирует пользователя и разрешает аутентификацию на сервере. Содержимое файла cookie должно быть подписано и зашифровано. Конкретная реализация этого файла cookie, включая алгоритмы подписи и шифрования, зависит от реализации сервера TSWPP, поскольку только сервер должен анализировать содержимое печенье. Если сервер реализует файл cookie, то файл cookie должен быть возвращен в полезной нагрузке HTTP с типом контента "application / x-msts-webfeed-login".

http://msdn.microsoft.com/en-us/library/ee920427.aspx