avec l'authentification Windows intégrée et asp.net, l'utilisateur change de mot de passe et est invité à se reconnecter. Pourquoi?

Question

Je travaille sur une application qui utilise l'authentification Windows. Dans cette application, nous donnons à l'utilisateur la possibilité de changer son mot de passe.

L'utilisateur peut très bien changer le mot de passe. Cependant, après avoir changé leur mot de passe, c'est quand les choses deviennent bizarres.

Parfois, ils peuvent très bien naviguer dans l'application. D'autres fois, ils cliquent sur un lien et sont immédiatement invités à fournir leurs informations d'identification. Occasionnellement, ils peuvent cliquer sur un lien, mais lors d'un second clic, ils sont invités à fournir des informations d'identification.

Le navigateur conserve-t-il un jeton pour les informations d'identification d'origine et l'utilise-t-il lorsqu'il demande la page suivante? Si tel est le cas, pourquoi puis-je continuer à utiliser le site parfois? Puis-je changer le mot de passe, puis affecter ce jeton à la demande?

Quelqu'un a-t-il des suggestions?

Answer 1

C'est un problème de mise en cache. Si l'utilisateur se connecte à une application ASP.NET en utilisant Windows auth, la connexion persistera pendant un certain temps pour des raisons de performances (vous ne voulez vraiment pas faire une ré-authentification complète à chaque demande de page!) - même le changement de mot de passe doit voyager du PC, au contrôleur de domaine et ensuite au serveur ASP.NET, donc il y a souvent un petit retard. Ma recommandation serait de laisser tomber le navigateur et attendre 30 secondes avant de se reconnecter.