主站和虚拟目录之间的Forms身份验证

最新推荐文章于 2022-07-25 09:06:31 发布
最新推荐文章于 2022-07-25 09:06:31 发布
阅读量1.5k 收藏
点赞数
分类专栏: 小知识分享 .net 文章标签: 单点登录 Cookie Forms身份验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/king_wgm/article/details/38703037
版权

最近项目中将一个网站的项目拆开,根据功能不同简历不同的项目。但是最后要在一个网站域名下。这就用到了虚拟目录。

同时遇到了一个困扰了我一天的问题,虽然最后不算是什么大问题,但是却把cookies和Forms身份验证的原理又重新研究了一番。还是基础,在此记录。

要求:登录主站之后,分站不用登录,直接进入。即单点登录。

背景:iis7中建立主站,主站中有分站的应用程序(即虚拟目录)。

使用标准的asp.net FormsAuthentication身份验证方式。登录代码如下:

  RMS_LoginName rln = obj.ResultsObject as RMS_LoginName;
                FormsAuthentication.SetAuthCookie(rln.Login_ID.ToString(),false);
                HttpCookie cookie = FormsAuthentication.GetAuthCookie(rln.Login_ID.ToString(), false);
                FormsAuthenticationTicket oldTicket = FormsAuthentication.Decrypt(cookie.Value);


                FormsAuthenticationTicket newTicket = new FormsAuthenticationTicket(1, oldTicket.Name, oldTicket.IssueDate, DateTime.Now.AddMinutes(30), oldTicket.IsPersistent, rln.ToString(), FormsAuthentication.FormsCookiePath);
                cookie.Domain = cookie.Domain;
                cookie.Path = "/";
                cookie.Expires = DateTime.Now.AddMinutes(30);
                cookie.Value = FormsAuthentication.Encrypt(newTicket);
                HttpContext.Current.Response.Cookies.Add(cookie);


主站和分站两个应用程序web.config 配置相同

 <authentication mode="Forms" >
            <!--以下登录地址根据登录框页面真实地址修改-->
            <forms loginUrl="/login.html" name="CotMainCenter" timeout="1800" defaultUrl ="/index.html" domain=".cotlife.cn"  enableCrossAppRedirects="false" cookieless="UseDeviceProfile" /> 
        </authentication>


问题来了:主站登录之后,分站无论如何不是登录状态。Context.User.Identity.IsAuthenticated始终未false

第一步:设置相同的domain,不好使。查找各种网上的资料,均不得要领。

第二步:调试分站PostAuthenticateRequest事件,中发现。Cookie丢失。

第三步:对比主站Request请求和奋战

第四步:使用浏览器调试,发现headers中Cookie包含登录的CotMainCenter。但是为啥没解析出来呢。

第五步:调试分站BeginRequest事件,中发现Cookie是有CotMainCenter的。

第六步:怀疑是分站解析Cookie时没解析成功。 那么为啥相同的Cookie在主站可以解析,分站不可以解析呢?有可能是不同的应用程序解析方式不一样?

第七步:终于在微软MSDN上找到了。http://msdn.microsoft.com/zh-cn/library/eb0zx8fc.aspx跨应用程序进行Forms身份验证。

在web.config中加入

 <machineKey
      validationKey="C50B3C89CB21F4F1422FF158A5B42D0E8DB8CB5CDA1742572A487D9401E3400267682B202B746511891C1BAF47F8D25C07F6C39A104696DB51F17C529AD3CABE" 
      decryptionKey="8A9BE8FD67AF6979E7D20198CFEA50DD3D3799C77AF2B72F" 
      validation="SHA1" />
	问题解决。
    总结:不同的应用程序,在解析cookie时需要有相同的machinekey。当然machinekey需要自己生成。
但是为啥我的是同一个机器,machineKey会不一样呢?这个一开始就没考虑。现在还是有点糊涂。期待高手给解答一下。

王浮生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET Internet安全Forms身份验证方法
10-29
安全性是 ASP.NET Web 应用程序中一个非常重要的方面,它涉及内容非常广泛,不能在一篇文章内说明所有的安全规范,本文讲述如何利用IIS以及Forms 身份验证构建安全的 ASP.NET 应用程序,它是目前被使用最多最广的验证/授权方式.
asp.net Forms身份验证和基于角色的权限访问
10-29
Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户的角色决定能访问的页面。
Forms身份验证
weixin_34152820的博客
06-29 387
IIS 身份验证 ASP.NET 身份验证分为两个步骤。首先,Internet 信息服务 (IIS) 对用户进行身份验证,并创建一个 Windows 令牌来表示该用户。IIS 通过查看 IIS 元数据库设置,确定应该对特定应用程序使用的身份验证模式。如果 IIS 配置为使用匿名身份验证,则为 IUSR_MACHINE 帐户生成一个令牌并用它表示匿名用户。然后,IIS 将该令牌传递给 ...
Android与IIS身份验证——Form验证
weixin_34007886的博客
08-19 117
内容摘要   前言   设计思路    ASP.NET服务器端   Android客户端   运行结果             上篇《Android与IIS身份验证——基本验证》实现了Android客户端与IIS的简单验证。而这种验证方式虽然使用起来比较简单,但是也有很多缺点。如,安全性较差,账号密码设置不灵活。让我们回顾一下ASP.NET的身份验证方式:Windows、Form和P...
IIS与Forms身份验证
weixin_34015566的博客
11-29 1091
IIS与Forms身份验证  前面提过,IIS会把注册的扩展名发送到aspnet_isapi.dll。图1展示 的是找到的已注册扩展名。我们可以在虚拟目录或者网站的“Properties”中的“Configuration”选项就可以看到这个对话框。带有由 aspnet_isapi.dll进行处理的已注册扩展名的任何文件都受到ASP.NET的Forms身份验证的支配。下面我们对...
apache虚拟目录的创建及身份验证功能的开启
weixin_34288121的博客
08-27 130
apache虚拟目录的创建及身份验证功能的开启 实验环境:服务端:centos6.5 IP192.168.10.10客户端:win71.echo "test01" > /var/www/html/index.html //将首页改为test01vim /etc/httpd/conf/httpd.conf//添加可识别网页文件类型vim vuser.conf ...
asp.net forms身份验证,避免重复造轮子
10-29
ASP.NET Forms 身份验证是ASP.NET框架内建的一种安全机制,用于管理用户登录和授权。在传统的ASP应用中,通常使用Session和Cookie来实现用户的身份验证,但这种方式需要手动处理许多细节。Forms身份验证则提供了更为...
forms身份验证
05-05
`System.Web.Mvc.AuthorizeAttribute`类用于处理授权逻辑,`FormsAuthentication`类则提供了身份验证和登出的相关方法。同时,`System.Web.Security.Membership`提供了一套预定义的用户管理和验证功能,可以方便地与...
浅谈asp.net Forms身份验证详解
10-20
ASP.NET Forms身份验证是.NET Framework中用于Web应用程序的一种安全机制,它允许开发者为用户提供安全的登录体验,同时保护敏感信息和资源。这种身份验证模式基于HTTP的Cookie机制,通过将用户的凭据(如用户名和...
跨应用程序进行 Forms 身份验证
weixin_34318326的博客
05-28 105
ASP.NET 支持在分布式环境中(跨单个服务器上的多个应用程序或在网络场中)进行 Forms 身份验证。如果启用了跨多个 ASP.NET 应用程序的 Forms 身份验证,则当用户在应用程序之间切换时,不需要对他们重新进行身份验证。 配置跨应用程序的 Forms 身份验证 若要配置跨应用程序的 Forms 身份验证,对于参与共享的 Forms 身份验证的所有应用程序,应将 Web.config...
使用 Forms 身份验证的一点点心得
~飞 鸟 (*^__^*) 天 堂~
01-28 756
如果采用 Forms 验证,当用户通过验证后 Context.User.Identity 或 Page.User.Identity 是一个 System.Security.Principal.IIdentitySystem.Security.Principal 命名空间定义表示代码在其中运行的安全上下文的用户对象。未验证:Context.User: System.Securit
IIS与asp.net身份认证
weixin_34293902的博客
10-25 198
在IIS中 设置应用程序的身份认证 相关选项有: 第一类,Forms身份验证和windows live id 验证(微软的单点登录服务) 第二类,基本身份认证,域服务器的摘要式身份认证,windows身份认证   关于模拟身份的相关选项有: IIS的身份认证中的 “asp.net模拟”  和 “应用程序池的标识” 另外模拟身份必须启用“匿名身份验证”   另外总结3点还有2个注意:...
解释:ASP.NET 2.0 中的窗体身份验证
weixin_33862514的博客
01-04 88
解释:ASP.NET 2.0 中的窗体身份验证 发布日期: 2006-6-26 | 更新日期: 2006-6-26 适用于:ASP.NET 2.0 版 摘要:本教程阐释 ASP.NET 2.0 版中窗体身份验证的工作机制;阐释 IIS 和 ASP.NET 身份验证如何协作,以及 FormsAuthenticationModule 类的角色与操作。 本页内容 ...
Forms身份验证的配置
weixin_30918415的博客
08-04 480
authentication — 认证; 身份验证; 证明,鉴定; 密押; authorization — 授权,批准; 批准(或授权)的证书; <authenticationmode="Windows|Forms|Passport|None"><formsname=".ASPXAUTH"loginUrl="Login.aspx"protection="All...
IIS身份验证知识摘录
weixin_30423977的博客
12-09 146
IIS 身份验证 ASP.NET 身份验证分为两个步骤。首先,Internet 信息服务 (IIS) 对用户进行身份验证,并创建一个 Windows 令牌来表示该用户。IIS 通过查看 IIS 元数据库设置,确定应该对特定应用程序使用的身份验证模式。如果 IIS 配置为使用匿名身份验证,则为 IUSR_MACHINE 帐户生成一个令牌并用它表示匿名用户。然后,IIS 将该令牌传递给 ASP.N...
细说ASP.NET身份认证
weixin_30270889的博客
04-16 305
细说ASP.NET身份认证 阅读目录 开始 ASP.NET身份认证基础 ASP.NET身份认证过程 如何实现登录与注销 保护受限制的页面 登录页不能正常显示的问题 认识Forms身份认证 理解Forms身份认证 实现自定义的身份认证标识 在多台服务器之间使用Forms身份认证 在客户端程序中访问受限页面 用户登录是个很常见的业务需求,在ASP.NE...
IIS Form 认证 保护HTML页面
weixin_30500289的博客
03-24 231
原来是没注册 HttpHandler,还有需要提供 buildProviders, 1、在 Web.config 中设置,在 <system.web> 下的 <httpHandlers> 中增加一行<add verb="*" path="*.htm" type="System.Web.UI.PageHandlerFactory"/>2、然后在 <syst...
Forms身份认证
qq_59102148的博客
07-25 279
配置Forms身份认证
Form身份验证
weixin_34267123的博客
06-08 136
Forms身份验证Web.config<system.web><authentication mode="Forms"> <forms loginUrl="登陆地址.aspx" defaultUrl="Default.aspx" /> <!--设置你的登陆页--> defaultUrl如果直接打开的就是 登陆地址.aspx...
ASP.NET Forms身份认证详解:原理、过程和实现
Forms 认证是 ASP.NET 中最常用的身份验证机制。 在 ASP.NET 中,有两个基本的问题需要解决: 1. 如何判断当前请求是一个已登录用户发起的? 2. 如何获取当前登录用户的登录名? 在标准的 ASP.NET 身份验证方式中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值