Internet Explorer не запрашивает проверку подлинности Windows после истечения времени ожидания сеанса

Question

У меня проблема с веб-приложением SSRS Report Manager (но, опять же, я вижу это также как типичную проблему приложения ASP.Net).

Это приложение настроено на использование проверки подлинности Windows, и пользователи обычно получают доступ к приложению с помощью Internet Explorer. Приложение также имеет настройку времени ожидания сеанса на 20 минут.

Проблема (которая интерпретируется как проблема информационной безопасности :() заключается в том, что, если пользователь простаивает в этом приложении более 20 минут, он все еще может вернуться и продолжить работу с любой проблемой. Они сказали, что это время не истекло, поскольку они не получают приглашение на вход в систему.

Когда я запустил Fiddler, я заметил, что первый запрос через 20 минут фактически 401, что означает, что сервер отклонил запрос. После этого, я полагаю, Internet Explorer отправляет кэшированные учетные данные. Из-за этого приглашение для входа в систему не появляется.

У меня есть следующие вопросы 1. Правда ли, что IE может отправлять кэшированные учетные данные после истечения времени ожидания сеанса? Любая ссылка / ссылка Microsoft? 2. Есть ли способ заставить диалог входа в систему после истечения времени ожидания сеанса? (Я удалил из вкладки настроек IE и расширенной вкладки, но не повезло)

Answer 1

Это очень хороший пост в блоге , в котором обсуждаются несколько различных вариантов, но лучше всего - заставить ваше приложение определить время ожидания сеанса и отправить код ответа 401.

Альтернативный (и лучший) подход состоит в том, чтобы не использовать проверку подлинности Windows и реализовать собственный интерфейс входа в систему.Это довольно просто в ASP.NET.

Если у вас нет контроля над вашим приложением, и это звучит так, как будто у вас нет, то вы ничего не можете сделать.

Однако , это не объясняет того, чего вы пытаетесь достичь, заставляя пользователя войти в систему вручную и повторно войти в систему, если его сеанс истекает.Единственный раз, когда вы получите что-то от принудительного входа пользователя на ваш веб-сайт вручную, - это если вы ожидаете, что он оставит свой компьютер разблокированным - но тогда у вас все равно будет зияющая дыра в безопасности.Это как заводить окна в машине, но оставить двери незапертыми и ключ на крыше.