Tempo limite de autenticação de formulários vs tempo limite de sessionState

Eu tenho código que estou procurando em relação a time outs de session do site. No web.config me deparei com este código.

    

Alguém sabe se um toma precedente sobre o outro e como eles são diferentes. Obrigado.

    Eles são coisas diferentes. O valor do Tempo limite de autenticação de formulários define o período de tempo em minutos que o cookie de autenticação é definido como válido, ou seja, após o número de minutos, o cookie expirará e o usuário não será mais autenticado – eles serão redirecionados para o Página de login automaticamente. O valor de slidingExpiration=true está basicamente dizendo que, após cada solicitação feita, o cronômetro é redefinido e, desde que o usuário faça uma solicitação dentro do valor de tempo limite, ele continuará sendo autenticado. Se você definir slidingExpiration=false o cookie de autenticação expirará após o número do value de minutos, independentemente de o usuário fazer ou não uma solicitação dentro do valor de tempo limite.

    O valor de tempo limite SessionState define o período de tempo que um provedor de estado da session é necessário para armazenar dados na memory (ou qualquer repository de suporte está sendo usado, SQL Server, OutOfProc, etc) para uma session específica. Por exemplo, se você colocar um object em Sessão usando o valor em seu exemplo, esses dados serão removidos após 30 minutos. O usuário ainda pode estar autenticado, mas os dados da session podem não estar mais presentes. O valor do tempo Session Timeout é sempre redefinido após cada solicitação.

    O valor de slidingExpiration = true é basicamente dizer que, após cada solicitação feita, o cronômetro é redefinido e, desde que o usuário faça uma solicitação dentro do valor de tempo limite, ele continuará a ser autenticado.

    Isso não está correto. O tempo limite do cookie de autenticação só será redefinido se metade do tempo do tempo limite tiver passado.

    Veja, por exemplo, https://support.microsoft.com/de-ch/kb/910439/pt-br ou https://itworksonmymachine.wordpress.com/2008/07/17/forms-authentication-timeout-vs-session -tempo esgotado/

    Pelo que entendi, eles são independentes um do outro. Mantendo o tempo limite de session menor ou igual ao tempo limite de autenticação, você pode garantir que nenhuma variável de session específica do usuário seja mantida após a expiração da autenticação (se essa for a sua preocupação, o que eu acho normal ao perguntar isso questão). Obviamente, você terá que manipular manualmente o descarte de variables ​​de session no logout.

    Aqui está uma resposta decente que pode responder à sua pergunta ou, pelo menos, apontar na direção certa:

    • Tempo limite de autenticação de formulários vs. Tempo limite da session

    A diferença é que um (Tempo limite de formulários) tem a ver com a autenticação do usuário e o outro (Tempo limite da session) tem a ver com o tempo que os dados em cache são armazenados no servidor. Então eles são coisas muito independentes, então um não tem precedência sobre o outro.

          

    Esta configuração me envia para a página de login a cada dois minutos, o que parece controver as respostas anteriores