Парамон,

так то всё можно свести к куки и токенам.
Тот же токен либо передаётся в запросе, либо создаётся IIS и передаётся в ASP.NET.

Что-то из-за этого топика тоска по прошлому нахлынула. Когда-то ведь и я сам писал такое:

stenfordhVosttну я знаю такие механизмы как Basic, Digest, NTLM, Negotiate, Forms, CA, SWT, JWT, SAML, WS, OpenID Connect, OAuth...

а у тебя токен и куки?

все перечисленное и есть токены с куками под разными соусамиЭто как посмотреть.

Начнём с Basic. Вот где там токены или куки?

stenfordskyANAЭто как посмотреть.

Начнём с Basic. Вот где там токены или куки?

seriously? Где в Basic токены? Ты Basic даже не отличил-бы от JWT'ов на глаз если из его хэдера слово Basic выкинутьХамство вместо ответа на простой вопрос - отличительная черта гопника с урала :)

Формально-то токеном там является base64 от строки "username:password".
Но вот на мой взгляд это слабовато для токена с точки зрения защиты конфиденциальности пользователя и его пароля.

Token Based Authentication -- Implementation Demonstration

stenfordskyANAХамство вместо ответа на простой вопрос - отличительная черта гопника с урала :)
хамство и флуд - это твоя отличительная черта, это в добавок к несообразительности. То, что я написал и надо понимать буквально - хэдер с basic аутентификацией ты не отличишь на глаз от хэдера с JWT если из него выкинуть слово обозначающее тип аутентификации. Если по-прежнему не доходит - почитай сначала теориюУ JWT есть ещё и пейлоад. Иди-ка сам почитай :)

ПарамонskyANAпропущено...
Хамство вместо ответа на простой вопрос - отличительная черта гопника с урала :)
“Гопник с урала” это да хамство, а в чем его?Резкий способ общения и есть хамство по определению.

Пожалуй вернусь к теме топика.

ilshatkinСпасибо ребята что откликнулись. В итоге накостылял, получилось не идеально но терпимо на первое время.

Здесь специфика в том что это веб-приложение для ведения учета и если в нем работать, то он может стоять открытым долгое время без каких либо действий и по возвращению хотелось бы не терять открытые окна и тому подобное из-за редиректа на страницу авторизации.

Сессию можно назвать не восстанавливаю, а делаю новую и продолжаю на нем работать дальше.

Веб-приложение на web forms с ext.net.

Сделал доп. модальное окно для авторизации внутри приложения и если происходит запрос на сервер и обнаруживается что сессия истекла, то это окно показывается, а отправленный запрос просто возвращает null. Далее если вводится верный пароль, то создается новая сессия и работаем на ней. Сейчас не идеально то что по идее нужно было бы повторно запустить тот неудачный запрос автоматом и завершить действия, но пока это не стал делать, то есть человек должен повторно инициировать сове действие.
Лично я не вижу никакого смысла делать "доп. модальное окно". Зачем?
Типа чтобы пользователь не покидал страницу? Но его внимание (контекст/поток) всё равно будет переключено на ввод логина и пароля.
Да и явный переход на строницу логина с последующим редиректом обратно - это повсеместно используемый и узнаваемый подход. Следовательно он не должен смущать пользователя.
Также он уже реализован в FormsAuthentication.

Таки зачем, как Вы сами выразились, "костылять", если можно воспользоваться готовым решением?

Что касается выставления sessionState timeout в 8 часов и более, то по мне так это плохое решение.
Считаю что пользователь должен сам указывать нужно-ли его запоминать на текущей машине: на рабочей - да, в переговорке - нет.