最近有人要求我将使用 Windows 身份验证的现有应用程序的身份验证方法更改为针对 Active Directory 的表单身份验证。
对我来说新的是只需要在登录页面上使用 SSL。
通过查看包括这篇文章在内的许多文章,它说在创建身份验证票证时使用 Encrypt 方法。我的问题是,方法不会
FormsAuthentication.RedirectFromLoginPage创建加密的 cookie 吗?那么,为什么需要手动创建身份验证票证呢?我一直在看这篇关于如何在 http 和 https 之间切换的好文章。但是,我的代码需要尽可能减少干扰,以便以后在生产中轻松合并。那么,在 web.config 文件中使用绝对路径是否正确?
<authentication mode="Forms"> <forms loginUrl="https://localhost/Login.aspx" defaultUrl="http:/localhost/Default.aspx"/> </authentication>由于应用程序将在 http 和 https 之间切换,因此无法使用属性
requireSSL=true。除了使用加密 cookie 之外,我还应该考虑哪些其他措施proection=All?让 Active Directory 连接字符串可见是否有任何风险?这应该加密吗?