处理部分填写的表单的过期身份验证？

Question

我有一个大型网络表单，希望在会话过期时提示用户登录，或者在提交表单时让他们登录。似乎让他们在提交表单时登录会带来很多挑战，因为他们会被重定向到登录页面，然后原始表单提交的回发数据会丢失。

所以我正在考虑如何在会话过期时提示他们异步登录。这样他们就停留在原始表单页面上，出现一个面板告诉他们会话已过期并且需要登录，它异步提交登录，登录面板消失，并且用户仍然在原始部分填写的表单上，并且可以提交它。使用现有的 ASP.NET 成员资格控件可以轻松实现此操作吗？当他们提交表单时，我需要担心会话密钥吗？我的意思是，我想知道表单提交的会话密钥是否是会话过期前的原始密钥，它与再次异步登录后生成的新密钥不匹配（我仍然不明白 ASP.NET 如何详细说明）跟踪身份验证/会话 ID）。

编辑：是的，我实际上担心身份验证过期。用户必须经过身份验证，提交的数据才被视为有效。

Answer 1

会话过期与身份验证过期不同 - 您可能需要确定您关心的是哪一个。

会话在不活动 20 分钟后（默认情况下）过期，并将清除 Session 对象。当它过期时，您存储在 Session 中的任何内容都将消失。

[表单] 身份验证在 30 分钟不活动后过期（默认情况下） - 尽管它仅在每个半衰期更新一次。因此，实际上 - 它可能会在 15 分钟不活动后过期（默认情况下）。当它过期时，下一个请求将被重定向到您的登录页面。

会话和身份验证并不真正相关 - 您可以是匿名（未经身份验证）用户，但仍然拥有 Session - 或者您可以登录（经过身份验证）但没有 会话。您的会话可能会在您的身份验证之前过期，反之亦然。

您可以简单地调高会话和/或身份验证的过期值。 Session 的问题在于它会占用服务器资源，并且保留 Authentication 是一个安全问题。

如果您只是担心在表单持续时间内保持它们都处于活动状态，则使用 XmlHttpRequest 或 iframe 访问服务器页面的一小段 JavaScript 将重置两者的过期时间（因为 slipExpiration ）。

还有其他技术，但首先更好地定义问题会很有帮助。

Answer 2

非常好的回应@Mark Brackett 阅读下面OP 的评论，我相信这是他的最终目标。

在按钮/提交元素上，您想要编写一个 javascript 方法，该方法通过 ajax 轮询服务器以查看它们是否仍然经过身份验证。

如果它们经过身份验证，您仍然希望返回 true 并让表单进行常规提交，如果返回 false，您希望不允许表单提交。此时，您将需要使用 javascript 在浏览器内显示一个“窗口”（想想浮动 div）或弹出一个真正的新窗口供他们登录（我推荐第一种方法），这个新窗口将允许他们通过ajax登录然后隐藏/关闭自身。

然后，当他们再次单击提交按钮时，该窗口就会消失，他们将能够成功发布表单。

Answer 3

有很多方法可以做到这一点：您可以在用户的​​计算机上存储 cookie，或者您也可以将表单拆分为更小的表单（即：步骤 1 - 输入您的个人信息，步骤 2 - 输入帐单信息等）。

拆分表单可以让用户更快地输入数据，从而减少会话过期的机会。

添加 cookie 后，即使您事后登录，此人的信息仍然存在。只需确保最后取消设置这些cookie即可。