4

我正在尝试制作一个 POC,其中可能有一个使用 http 和 https 的网站。所以我在我的母版页中有一个控件,如果用户经过身份验证,它需要信息。为此,我想使用HttpContext.Current.User.Identity.IsAuthenticated. 如果经过身份验证,则显示经过身份验证的用户的信息,如果没有出现登录控件。

要对控件进行身份验证,请向具有该[RequireHttps]属性的 Login 操作发出 AJAX POST 请求。AJAX 请求中使用的 URL 是:

$.ajax({
    type: 'POST',
    url: '@Url.Action("ModalLogIn", "Authentication", null, "https", Request.Url.Host + ":44300")',

顺便说一句,我使用的是启用 SSL 的 VS2013 IIS express。

正如您在我的 AJAX 请求中看到的那样,我正在使用 HTTPS in action url。使用 SSL 向服务器发出请求,并成功做出响应。

问题是在随后的请求中,ASPXAUTH cookie 没有在请求标头中传递。所以服务器没有得到用户认证信息。随后的请求是在没有 SSL 的情况下发出的,是简单的 HTTP 请求。

我知道在安全方面,身份验证仍然不安全,因为我希望通过 HTTP 传递 ASPXAUTH,但就像我说的那样是 POC,我想看看是否可以使用 HTTPS 和所有的进行简单的身份验证请求其他人使用 HTTP。

根据要求,这是响应标头:

Access-Control-Allow-Orig...    *
Cache-Control   private
Content-Length  15
Content-Type    application/json; charset=utf-8
Date    Sat, 26 Oct 2013 18:57:55 GMT
Server  Microsoft-IIS/8.0
Set-Cookie  ASP.NET_SessionId=j2a53htev0fjp1qq4bnoeo0l; path=/; HttpOnly 
ASP.NET_SessionId=j2a53htev0fjp1qq4bnoeo0l; path=/; HttpOnly 
IAC.CurrentLanguage=en; expires=Sun, 26-Oct-2014 19:57:55 GMT; path=/ 
.ASPXAUTH=730DEDBFD2DF873A5F2BD581AA0E25B685CAD12C26AEA63AD82484C932E26B617687A05BB403216CC5EFCF799970810059F9CA2CF829F953580AF81FF48102003C0129AB04424F0D011A733CAAF1DE00688E5A4C93DEA97338DD2B5E7EE752F3761A470D52449BEBCA74098912DE37AA8C1E293B1C5D44EB1F9E9384DAAEF289; path=/; HttpOnly
    X-AspNet-Version    4.0.30319
    X-AspNetMvc-Version 3.0
X-Powered-By    ASP.NET
X-SourceFiles   =?UTF-8?B?QzpcTXkgRGF0YVxCaXRidWNrZXRcaWFjLXdlYnNpdGVcaW1wbGVtZW50YXRpb25cZG90bmV0XElBQy5XZWJcQXV0aGVudGljYXRpb25cTW9kYWxMb2dJbg==?=
4

3 回答 3

1

可能是当您设置身份验证 cookie 时,它​​被标记为“安全”。

使用 Chrome 开发者工具,点击“资源”,然后点击 cookie。在“安全”列下检查 cookie 是否被标记。如果是,那么这意味着浏览器不会使用非安全连接发送 auth cookie。

于 2013-10-24T17:28:17.607 回答
1

只是在黑暗中拍摄,但请尝试将 ASPXAUTH cookie 设置为过期日期。

浏览器可能会在收到会话 cookie 后,仅在使用与设置时相同的协议 (https) 的连接上显示会话 cookie。我确信持久性 cookie 没有这个限制。

另外,调查端口是否可能是问题所在。如果您的 AJAX 超过 44300 而您的网络超过 80 或 443,则 cookie 可能会丢失,因为浏览器认为安全 cookie 是特定于端口的。W3C 规范没有说明 cookie 在端口方面是否是私有的。浏览器不同。

于 2013-10-31T23:16:25.463 回答
0

一切都像 JS 以 HTTPS 方式发出的 ajax 请求一样完美。相关响应也可以正常工作。但是好像你也没有在 SSL 中准备登录页面!我的意思是:

[RequireHttps]
public ActionResult Login()
{
   return View();
}

然后将请求发送到启用了 HttpPost 的操作。我相信这会正常工作。除非您缺少一些要求MicrosoftMvcAjax.js,例如MicrosoftAjax.js在您的 ViewEngine(可能是 Razor)使用正式的 Microsoft ajax 表单的情况下。我认为学习这篇文章可以帮助你更多。

祝你好运。

于 2013-11-02T12:48:01.993 回答