ASP.NET 2.0 中的窗体身份验证详解

每个请求只能使用一个身份验证模块。所使用的身份验证模块取决于 authentication 元素（通常位于应用程序的虚拟目录中的 Web.config 文件中）指定了哪种身份验证模式。

当 Web.config 文件中包含以下元素时，激活 FormsAuthenticationModule 类。

<authentication mode="Forms" />

FormsAuthenticationModule 类构造一个 GenericPrincipal 对象并将其存储在 HTTP 上下文中。GenericPrincipal 对象保存对一个 FormsIdentity 实例的引用，该实例代表当前经过身份验证的用户。应该允许窗体身份验证为您管理这些任务。如果应用程序有特定要求（例如，将 User 属性设置为一个实现 IPrincipal 接口的自定义类），则该应用程序应该处理 PostAuthenticate 事件。FormsAuthenticationModule 验证了窗体身份验证 Cookie 并创建了 GenericPrincipal 和 FormsIdentity 对象之后，会发生 PostAuthenticate 事件。在该代码中，可以构造一个包装 FormsIdentity 对象的自定义 IPrincipal 对象，然后将它存储在 HttpContext. User 属性中。

注 如果执行了这一操作，还需要设置 Thread.CurrentPrincipal 属性上的 IPrincipal 引用，以确保 HttpContext 对象和该线程指向相同的身份验证信息。

窗体身份验证 Cookie

调用 FormsAuthentication.SetAuthCookie 或FormsAuthentication.RedirectFromLoginPage 方法时，FormsAuthentication 类自动创建身份验证 Cookie。

典型的窗体身份验证 Cookie 中包括以下属性：

创建身份验证 Cookie

通过 FormsAuthentication 类创建身份验证 Cookie，如下所示。用户经过验证后，FormsAuthentication 类在内部创建一个 FormsAuthenticationTicket 对象，方法是指定 Cookie 名、Cookie 版本、目录路径、Cookie 颁发日期;Cookie 到期日期、是否应该保留 Cookie，以及用户定义的数据（可选）。

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,        "userName",        DateTime.Now,        DateTime.Now.AddMinutes(30), // value of time out property        false, // Value of IsPersistent property        String.Empty,        FormsAuthentication.FormsCookiePath);  

接下来，如果 forms 元素的