将persistentCookiesOnPassiveRedirects设置为true实际上做了什么?

时间:2012-10-25 16:33:56

标签: asp.net wif

使用WIF时,客户端可以设置默认为false的persistentCookiesOnPassiveRedirects。以下是提供的定义:

  

persistentCookiesOnPassiveRedirects:指定是否持久化   启用模块时会发出cookie   WS-Federation被动协议重定向。一个持久的cookie会   超过用户会话。

好的听起来很清楚,但我仍然没有得到它并且改变true / fasle之间的值似乎没有任何区别。是否有关于在单独的浏览器中提取另一个站点以信任相同的 STS提供程序并使其无需再次登录的情况下该怎么办?

我想一个站点和STS协同工作的例子对于准确解释这个设置的作用非常有帮助。谢谢!

1 个答案:

答案 0 :(得分:2)

这意味着WIF发布的 FedAuth cookie将是持久的(而不是绑定到用户会话)。如果您关闭浏览器并再次打开它,cookie仍将发送到您的站点,并且不会发生令牌协商(您将不会被重定向到STS)。

如果为false,则每次关闭浏览器并再次打开时,将触发协商,因为不再有令牌。 (Cookies是WIF存储安全令牌信息的地方)。

请注意,STS本身也会发出cookie(与您的应用程序不同),并且这些cookie可能是持久的,因此即使您将标志设置为false,第二次实际身份验证也可能不会发生。

另请注意,WIF可以选择在其他地方(服务器端)存储所需的信息。

最后但并非最不重要的是,令牌可能会过期,在这种情况下,无论标志如何,都将触发协商。