Timeout sessione autenticazione via form

[americangigi]

Salve a tutti,
ho un problema utilizzando l'autenticazione basata su form di ASP.NET.
Ho impostato il timeout a 30 minuti

codice:

<authentication mode="Forms">
        <forms name="MyNewApp"
            path="/"
            loginUrl="/admin/login.aspx"
            protection="All"
            timeout="30" >
            <credentials passwordFormat="Clear">
               ....
            </credentials>
        </forms>
</authentication>

ma a volte mi capita che interagendo con una pagina piena di controlli, dopo un po' che ci lavoro (inserendo dati nei campi, cliando su bottoni..), venga spedito alla pagina per fare una nuova login.
Mi immagino che ogni volta che avviene una interazione con server (click che causa evento per esempio..) il timeout dei 30 minuti venga azzerato... quindi se continuo a interagire con i controlli non dovrebbero cadere i 30 minuti.. o sbaglio?

quindi, secondo voi, quali possono essere le cause che mi rispediscono al form di login?

grazie a tutti

Luigi

[americangigi]

penso di aver trovato la risposta da solo...

FormsAuthentication.RedirectFromLoginPage Method (String, Boolean)

Redirects an authenticated user back to the originally requested URL.

[C#]
public static void RedirectFromLoginPage(
string userName,
bool createPersistentCookie
);

Parameters

userName
Name of the user for cookie authentication purposes. This does not need to map to an account name and will be used by URL Authorization.

createPersistentCookie
Specifies whether or not a durable cookie (one that is saved across browser sessions) should be issued.

e anche

You should take into account two things (at least) when you use Forms Auth
regarding to cookie issues.

1) Persistent cookies do not time out, so watch out for
"createPersistentCookie " argument in RedirectFromLoginPage method.

2) As the documentation specifies, if the SlidingExpiration attribute is
true (this is the default in v1.0 and false in v1.1), the timeout attribute
is a sliding value, expiring at the specified number of minutes after the
time the last request was received and be aware that the cookie is updated
when more than half the specified time has elapsed (not immediately after
the request was received).

[alka]

Per quanto ho avuto modo di leggere e sperimentare a riguardo, il timeout a cui ti riferisci è la scadenza del solo "ticket" che ti porti dietro una volta esserti autenticato.

Questo significa che spostandoti di pagina in pagina, viene mantenuto dal server un ticket che dopo 30 minuti cessa di essere valido richiedendo una nuova autenticazione.

Impostando il "cookie persistente", puoi accedere nuovamente al sito senza dover eseguire il login poichè il ticket salvato nel cookie viene inviato al server.

Impostando la proprietà slidingExpiration, dovresti ottenere lo "slittamento", appunto, della scadenza del ticket quando accedi al sito quando è trascorso un periodo superiore alla metà del periodo di validità del cookie.

Ciao!

[americangigi]

grazie mille per la risposta.
scusa se ci ho messo un po' a replicare, ma sono stato in vacanze..

quello che non avevo capito è che il cookie non viene aggiornato automaticamente, ma bisogna impostare tale comportamento (mi sarei aspettato il contrario). quando mi sono documentato all'inizio ho trovato un po' di confusione sul web a riguardo..

ora tutto funziona.

grazie ancora