问题标签 [forms-authentication]

我有一个 ASP.NET 2.0 Web 应用程序（C#），我想在其中启用单点登录。我只希望某些用户可以访问所有页面，而其他用户只能看到几个页面。我需要对我的 Web.config 文件进行哪些更改，以及我的页面代码隐藏中需要哪些代码？

谢谢

我注意到表单身份验证元素有一个名为的选项子元素Credentials。

MSDN Online在这里解释了它是什么。

就是说，我不明白它会用来做什么？所以我可以将用户名和密码（clear/md5/sha1）添加到配置文件中。但是如何/何时使用它？

这是在用户名/密码中硬编码以与表单身份验证一起使用而不是拥有数据库的示例吗？如果是这样，后面有代码吗？如果您还有一个包含用户/密码的数据库，会发生什么？

干杯:)

我们在我们的应用程序中发现了一个问题，即 Mac 上的 Safari 从已注销的会话中随机重新创建登录 cookie。

我在这里有一个带有这种行为的提琴手档案。请注意，已从中删除了一些内容以使其更易于获取，但没有删除任何设置 cookie 或任何内容的内容 - 仅重复请求 3-8。

我会告诉你运行顺序

• 请求 1：用户通过调用 /logout.aspx 注销 - Set-Cookie 返回设置 cookie 到期日期为 1999
• 请求 2-8：用户刷新登录页面，向 root 或 /res/en-US/s.js 发送调用 - 没有 cookie 发送到服务器或接收回，并且访问被拒绝。我已经从日志中删除了很多这种性质的请求，因为它们很无聊
• 请求 9：请求 /res/en-US/s.js - Hv3 身份验证 cookie 神秘地再次出现！笏。没有设置饼干！WTFF！
• 请求 10+：现在 cookie 重新出现，站点再次登录用户

在 Safari 中检查时，cookie 看起来像

需要注意的一件事是，在 Safari 中，cookie 域是 .mysite.dev 而不是 mysite.dev（这是 web.config 中指定的 cookie 域） - 但是，鉴于请求 2-8 中拒绝访问，它看起来像cookie 已过期 OK。如果您在 2-8 期间查看浏览器中的 cookie 列表，则 .Hv3 cookie 不存在。

这是我们的错误还是 Safari 的？我能做些什么来阻止它的发生？

你好，我通过使用 Sql Membership Provider、站点地图和启用安全修剪创建了一个带有 Asp.Net 的网站。基于这些，我将 web.config 文件设置到目录中，以便根据用户的角色允许或不允许用户访问。

一段时间后，我删除了 MembershipProvider 并手动创建了“标准”登录过程，该过程创建了票证和身份验证 cookie，并将 GenericPrincipal 设置为 Application_AuthenticateRequest。

这些更改后的问题是，虽然站点地图根据每个不同的用户的角色显示了正确的页面，但当我单击此页面时，系统会将我重定向到“default.aspx”页面，例如不允许用户进入那个页面！

奇怪的是站点地图和安全修剪正在工作，但实际上我无法进入页面！！！！！！

I'm creating an ASP.NET web application which I want to secure with Forms Authentication.

When the application is run for the first time, I want it to create a default administrator account so that the owner is able to log in and configure the application.

I managed to get something working for this by running the following method from the Application_Start method:

The problem is this fails with an error about the chosen password not being secure enough. Normally this would be fine as I do want to enforce a strong password, but in this specific case I want a simple password

Is there a way of disabling the check for just this call, or am I approaching the whole problem incorrectly?

我不知道如何表达一个好问题，所以我只会说我想要什么！

我必须为我们的供应商重新设计一个 Web 应用程序，其中一部分需要逐个供应商限制内容。看看 ASP.NET (MVC)，使用内置的授权过滤器以及 IPrincipal 和 IIdentity 接口似乎很容易（我还没有使用它们，只是在阅读，所以我可能错误地使用了这些术语！）。

我不感兴趣的是编写所有用于管理用户和角色的代码。我希望能够假设所有这些都是由第三方应用程序为我完成的，并且我的代码只是指定了所需的角色。

现在，我不确定我所追求的产品，或者它是否存在。这是一个CMS吗？现在我们的供应商网站使用的是非常旧的 DNN 版本。我们现有的一些自定义代码是作为 DNN 中的一个模块编写的。我对这种类型的解决方案根本不感兴趣。我希望能够构建一个标准的 ASP.NET webapp，而不是绑定到某个供应商的“模块”定义。如果 CMS / Portal 在 ASP.NET 提供的 API 后面实现自定义提供程序，这似乎应该是可能的，是吗？

如果有意义的话，这里的主要（唯一）客户是开发人员。

笔记：

• 我真的不需要完整的 CMS，这就是为什么我对要搜索的产品类型感到困惑的原因。某些 CMS 功能可能不错，但该站点仅用于非常特定的供应商交互，这将是 95% 的自定义。

• 我看到 ASP.NET 提供了一个网站管理工具，这很酷，但没有解决用户交互的面向公众的方面。

我正在为允许用户注册但不活动的应用程序使用表单身份验证。我们将通过蜗牛邮件发送激活码（长篇故事），用户可以返回该信息并激活他们的帐户。

我想创建一个页面，用户可以返回并输入他们的用户名、密码和生成的密钥来激活帐户。我存储在另一个表中的密钥，我计划生成它。我在使用非活动帐户验证用户名和密码时遇到问题。我试过 Membership.ValidateUser(username,password) 但它失败了，但如果我激活帐户，它就可以工作。

关于如何检查的想法？

在 SignOut() 调用后使用此方法会重定向到 '...login.aspx?ReturnUrl=%2fmydomainname%2flogout.aspx' 以便用户无法再次登录，因为成功登录会返回注销页面。登录页面在 webconfig 中设置，应用程序成功获取该页面。为什么 ReturnURL 会卡在 URL 的尾部？

在我的服务实施中，我有：

在我的 .config 文件中，我有：

和：

和：

在我的服务的“登录”方法中，我有：

但是，当我检查时：

它是一个空字符串。我错过了什么？

有什么方法可以使用测试凭据模拟 FormsAuthentication.Authenticate("username", "password") 方法？我的测试目标是确保如果身份验证失败，它会重定向到正确的位置。我正在使用 Rhino Mocks 作为模拟框架。

非常感谢您的帮助，