为什么我的用户可能会在一分钟左右后被注销？

Question

我有一个使用表单身份验证的 Asp Mvc 2 站点。当我在本地运行它时，我可以登录并无限期地保持登录状态。

然而，当我把它放在服务器上时，我似乎只保持登录状态几分钟，然后似乎就被注销了。我查看了 cookie，有 2 个似乎相关：

.ASPXAUTH 这是一个会话 cookie .ASPXANONYMOUS 将于 3 个月后到期。

当我刷新页面时，cookie 保持不变，直到我注销，此时我似乎获得了新的 .ASPXANONYMOUS cookie，但 .ASPXAUTH 似乎是相同的。

看来我可以保持登录状态，直到我在一段时间后做某事。如果我登录后立即提交表单，那么它可以正常工作，但是如果我继续一次又一次地提交数据，然后在一分钟左右后，其中一次提交将以注销用户的身份进行，而不是以注销的用户的身份进行。已登录，所有其他提交都是如此。

可能会导致此行为的原因是什么以及我如何找出不同之处&更改它以便我可以无限期地保持登录状态？

编辑，

它是一台服务器，但经过更多调查和搜索后，可能的候选者似乎是我在服务器上使用了超过 100mb，并且应用程序池正在被回收。我想现在我需要知道

• 如何检查我正在使用多少内存。
• 有什么建议可以减少这种情况。

Answer 1

ASP.NET 应用程序是否正在重新循环或关闭（例如，由于空闲超时或新建/更改的程序集）？

当 ASP.NET Web 应用程序启动时，默认情况下，它将生成视图状态和会话 cookie 的加密密钥。这将使最初从应用程序的早期运行（或从不同的系统）提供的任何此类数据无效。

要使会话在 ASP.NET 应用程序周期（和多服务器场）中生存，您可以在 web.config 中指定密钥：

<system.web>
  ...
  <machineKey
    decryption="AES"
    validation="SHA1"
    decryptionKey="..."
    validationKey="..."
  />

其中 decryptionKey 和 validationKey 是长度取决于算法的十六进制字符串（AES：64 位和 SHA1：128，对于其他算法，请检查 MSDN）。

这些密钥应该以加密方式生成，.NET 具有可以从 PowerShell 使用的类型来执行此操作：

$rng = New-Object "System.Security.Cryptography.RNGCryptoServiceProvider"
$bytes = [Array]::CreateInstance([byte], 16)
$rng.GetBytes($bytes)
$bytes | ForEach-Object -begin { $s = "" } -process { $s = $s + ("{0:X2}" -f $_) } -end { $s}

对于 AES，使用上述数组长度，对于 SHA1，使用长度 64。

Answer 2

Web 服务器上的会话超时配置的时间跨度很可能比您在 web.config 中的表单身份验证配置中设置的时间跨度小得多。

IIS6 和 IIS7 的默认会话超时为 20 分钟。

如果您有权访问 Web 服务器的管理界面，则可以通过 GUI 提高超时，但如果您的 IIS7 使用 和 ，也可以从配置文件中设置超时 部分：

http ://msdn.microsoft.com/en-us/library/cc725820(v=ws.10).aspx

Answer 3

检查 webconfig 身份验证部分

<authentication mode="Forms">
   <forms name="UniqueName" loginUrl="login.aspx" path="/"  >
    </forms>
</authentication>

确保每个托管站点的身份验证 cookie 名称是唯一的。

Answer 4

来到这里遇到了类似的问题，按照@Richard的建议，我查看了应用程序池的回收设置。我发现设置已更改，定期时间间隔（以分钟为单位） 值设置为 1 分钟。这意味着应用程序池每分钟都会被回收。

要更改此设置，请右键单击应用程序池，选择回收选项，更改定期时间间隔（以分钟为单位）下的值。我将其设置为与其他应用程序池使用的值相同。

此更改解决了该问题，事实证明，不久前在使用过期的 SSL 证书进行一些误导性故障排除期间，该值被设置为较低的值。

Answer 5

如果这些都不起作用，请检查应用程序池并确保空闲超时设置为 20 分钟以上。单击应用程序池，选择右侧的高级设置链接，找到进程模型部分，然后增加其中的空闲超时值。