当某一个用户使用用户名成功登陆网站时,FormsAuthentication(窗体身份验证机制,下面统一使用英文术语) 将会创建一个authentication ticket (身份验证票),通过这个ticket就可以在网站上全程跟踪这个用户了。Form authentication ticket通常被包含在一个Cookie里面,但是Asp.net2.0也支持不使用Cookie的FormsAuthentication,这时候ticket就需要通过Query string 传递。
当一个用户在登陆某个网站时,需要提供身份验证才能进入网站。如果他还没有输入验证信息(通常是用户名和密码),则此用户将会被重定向到一个登陆页面。用户可以在登陆页面输入验证信息,然后这些信息被发送到服务器与某一个存储用户身份信息的介质(例如Sql Server或者某个文件)进行信息对比。在ASP.Net2.0中,可以通过MemberShip Proivder来访问存储在诸如Sqlserver的信息。(Provider模式有很多优点,稍后会有文章详细说明。)当用户信息通过验证后,此用户将获得允许,访问他所期望的页面。
FormsAuthentication通过FormsAuthenticationModule这个类来执行,这个类是ASP.net页面运行周期的一部分。以下我们将解释FormsAuthentication在ASP.net2.0中是如何工作的。
IIS 验证
Asp.net验证分为两步。首先,IIS验证当前用户访问网站所使用的windows帐号是否有权限。如果IIS访问被配置为anonymous,则任何用户都能访问页面。
然后,在IIS验证完毕后,ASP.net开始执行自身的验证。验证模式可以在web.config文件中配置,只要在config文件中写上<authentication mode="Forms" />,那么ASP.net就知道使用FormsAuthenticationModule 类进行验证。
Asp.Net Froms Authentication
Froms Authentication 配置:你可以在config文件中配置。配置如下:
<system.web>
<authentication mode="Forms">
<forms loginUrl="Login.aspx"
protection="All"
timeout="30"
name=".ASPXAUTH"
path="/"
requireSSL="false"
slidingExpiration="true"
defaultUrl="default.aspx"
cookieless="UseDeviceProfile" enableCrossAppRedirects="false" />
</authentication>
</system.web>
这些属性详细描述如下:
loginUrl:指向登陆页面,你应改把登陆页面放在一个需要Secure Sockets Layer (SSL)的文件夹里。这样才能保障帐号的安全和完整。
potection:设置为”ALL”表明authentication ticket是加密的,加密算法被定义在machineKey这个元素中,并且通过哈希算法进行签名,这个算法也定义在machineKey中。
timout:该属性定义了验证session的过期时间。默认值为30分钟。
RequireSSL:该属性被设置为false,这表明验证的cookies可以不同过SSL加密传输。如果对session的安全性特别重视的话,则需要设置为true。
slidingExpiration:该属性被设置为true,这表示用户只要在网站上持续保持活动,则session就不会过期。
DefaultUrl:该属性表示登陆后的默认页面。
Cookieless:该属性被设置为UseDeviceProfile,这表示cookie将在任何支持它的浏览器中使用,如果该浏览器不支持cookie的话,form authentication将通过url来传递authentication ticket
enableCrossAppRedirects:该属性表示是否可以将通过身份验证的用户重定向到其他web应用程序。True表示可以,False表示不可以。
Authorization Configuration(用户配置)
类UrlAuthorizationModule用来执行保障只有通过身份验证的用户才能访问页面。你可以在web.config文件中配置这个类:配置如下:
<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>
以上配置表明,没有通过验证的用户都将被拒绝访问页面。如果一个没
