どのような値（Cookie、SessionID、変数）がWIFセッションに最も適していますか？

Question

ユーザーのログオンセッションが自分のサイトにログインしてからログオフするまでのセッションを追跡したいと考えています。

既存のクッキーを使用する必要がありますか？私はASP.NETのsessionIDを使用すると思ったが、StackOverflowでこれらの数値が変わる可能性があることを読んだ。

自分のセッションCookieを保存しますが、別の方法で効率的に行うことはできません。私はWindows Identity Foundation（WIF）を使用して認証レイヤーを処理しています。

私が見た唯一のクッキーはFedAuthクッキーなので、私はそこから貴重な情報を引き出すことができるかもしれないと思っていますが、WIFフレームワークでその情報にアクセスする方法。

Answer 1

WIFは、あなたが購読できるイベントの束を提供します。これらを参照してください。

http://msdn.microsoft.com/en-us/library/microsoft.identitymodel.web.wsfederationauthenticationmodule_members.aspx

http://msdn.microsoft.com/en-us/library/microsoft.identitymodel.web.sessionauthenticationmodule_members.aspx

Answer 2

あなたが設定を経由してクッキーの特性のいくつかを制御することができます - A Hidden Gem: The WIF Config Schema。特に、

のCookieHandlerセクションと

に注意しhideFromScript - ブール - 真のコントロールをデフォルト 「HttpOnlyの」フラグが書かれたすべてのクッキーのために放出されているかどうか。特定のweb ブラウザでは、クライアントサイドスクリプトがクッキー値 にアクセスしないようにすることで、このフラグを守ります。 WIFの面では

、Tokens.SessionSecurityTokenCookieSerializerとのCookieHandlerでデシリアライズはIdentityModel.Webに（/読み取り/書き込みを削除します）があります。