是否可以基于每个用户设置ASP.NET Owin安全cookie的ExpireTimeSpan?

时间:2015-02-06 23:00:06

标签: c# asp.net asp.net-mvc cookies owin

我们有一个使用Owin cookie身份验证的ASP.NET MVC 5应用程序。目前,我们按如下方式设置cookie身份验证:

public partial class Startup
{
    public void ConfigureAuth(IAppBuilder app)
    {
        var timeoutInMinutes = int.Parse(ConfigurationManager.AppSettings["cookie.timeout-minutes"]);

        app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
            AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
            AuthenticationMode = AuthenticationMode.Active,
            LoginPath = new PathString("/"),
            ExpireTimeSpan = TimeSpan.FromMinutes(timeoutInMinutes),
            SlidingExpiration = true,
            LogoutPath = new PathString("/Sessions/Logout")
        });
    }
}

我们有一项功能请求,允许我们的应用程序管理员在其组织内自定义会话超时。但是,上面的配置代码在MVC应用程序级别执行,我们的应用程序是多租户。有没有人知道如何在每个用户的基础上设置用户会话的ExpireTimeSpan,无论是在身份验证期间还是通过覆盖某处的Owin管道事件?

提前致谢!

1 个答案:

答案 0 :(得分:15)

身份验证选项包含名为Provider的属性。您可以将其设置为默认提供程序并使用方法覆盖之一(例如OnResponseSignIn)来修改登录设置,也可以实现自己的ICookieAuthenticationProvider并执行相同的操作。

app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    Provider = new CookieAuthenticationProvider
    {
        OnResponseSignIn = signInContext =>
        {
            var expireTimeSpan = TimeSpan.FromMinutes(15);

            if (signInContext.Properties.Dictionary["organization"] == "org-1")
            {
                expireTimeSpan = TimeSpan.FromMinutes(45);
            }

            signInContext.Properties.ExpiresUtc = DateTime.UtcNow.Add(expireTimeSpan);
        }
    }
});

您可以检查传入的声明以查看会话的处理方式,也可以在登录电话中添加自定义数据。

context.Authentication.SignIn(new AuthenticationProperties
{
    Dictionary =
    {
        { "organization", "org-3" }
    }
}, new ClaimsIdentity());

如果您真的想要,您甚至可以在登录电话上设置ExpiresUtc,但最好将该逻辑保留在身份验证提供程序中,以便更轻松地管理。