我们已经创建了一个vb.net Web应用程序,它使用Azure AD easy auth进行保护。
已创建自定义令牌策略以在20分钟不活动后将用户注销,但用户始终保持登录状态8小时。
Azure支持已经建议这是因为使用简单身份验证时使用的会话cookie覆盖了令牌策略。他们还建议,对于包含敏感数据的Web应用程序来说,8小时内无法更改,这对于它来说太长了。
是否有人遇到此问题或知道某种解决方法?由于简单的身份验证是“无代码”,因此在我的项目中似乎无法做任何事情来影响这一点。
答案 0 :(得分:1)
我认为您的Azure支持联系人最近向我询问了此案例。不幸的是,cookie的生命周期是8小时的硬编码。我们可以添加支持以使其可配置或使其与Azure AD令牌生命周期匹配,但不幸的是,这样的更改才能达到生产需要一些时间。