问题标签 [forms-authentication]

当身份验证发生在子域而不是父域时，是否可以跨子域对用户进行身份验证？

例如：

用户登录到site1.parent.com，然后我们需要将他们发送到reporting.parent.com。

即使登录发生在子域中，我是否可以向报告站点验证它们？

到目前为止，我所做的所有研究都是让用户先登录到父域，然后每个子域都可以访问身份验证 cookie。

我正在构建一个启用 FBA 的小型网站（SqlMembershipProvider），我希望注册尽可能简单，只需提示输入用户名（电子邮件地址）和密码。

如何从创建用户控件中删除安全问题？

我正在一个有内部和外部部分的网站上工作。

这两个部分的用户不同，因此他们需要不同的登录页面。我想为这两个文件夹配置不同的身份验证，但是 ASP.Net 但不允许这样做。

示例（在我的主 web.config 中）：

在外部子文件夹中，我尝试覆盖设置：

然而，这给了我一个错误。

我尝试将它们都放在它们的子文件夹中，但我得到了同样的错误，身份验证配置部分必须在应用程序级别设置（我猜这意味着根 web.config）。

一种可能的解决方案是集中登录页面并根据请求的来源进行重定向，如果它来自外部页面，则将其发送到外部登录页面，否则发送到内部页面。

它会起作用，但如果可能的话，我想要可以在 web.config 中配置它的解决方案。

谢谢

我正在创建一个应用程序，该应用程序将从.net 获取存储表单身份验证票证的 cookie 的内容。那部分已经完成。该票证中包含过期时间，默认为 20 分钟。

所以场景是，用户登录并在 .net 端进行验证。然后它们被重定向到我的 PHP 应用程序。我得到用户名，票到期等。

当用户在我的应用程序上保持活跃时，更新票证的最佳方法是什么？这里有两种可能的方法，我相信还有更多：

1. 距离到期还有 10 分钟，如果用户仍然处于活动状态，则会联系 .net Web 服务向我开具新的到期票。当页面空闲 20 分钟时，用户被重定向到原始的 .net 登录。

2. PHP 使用 cookie 来处理过期问题。当它接近 10 分钟并且用户仍在浏览时，它会刷新。但是当页面空闲 20 分钟时，用户会被重定向回原来的 .net 登录。

其他建议？优点，缺点？我正在寻找速度和安全性。

我有一个面向外部（互联网）的 SQL Server 2005 Reporting Services 实例。我想使用 ASP.NET 2.0 启用表单身份验证。一些网站讨论了如何配置它以使其工作，但没有任何说明导致完整的解决方案。有人有简单易懂且行之有效的指示吗？

我正在使用 Windows Server 2003

我是一名系统专家，目前正在做一个兼职网络开发项目，所以对它很陌生。我正在尝试为 www.portapower.com 编写一个 http 客户端。

它将针对网站上发布的某些项目，如果它们符合特定要求，它将打印一条消息。

尝试访问此页面时：

http://www.portapower.com/getbainfo.php?fclasscode=1&code=CB1831B.40H&fbrand=QUNFUg==

该网站将我重定向到默认注册页面：

http://www.portapower.com/defaregit.php

这是我编码的片段：

我确实有用户名和密码，并且在浏览器中使用时可以正常工作。请告诉我这是否是访问经过身份验证的页面的正确方法。

我有 ASP.Net 2.0 网站，其中 SQL Server 作为数据库，C# 2005 作为编程语言。该网站几乎已完成，所有链接都可以正常工作。但我想阻止普通用户打开几页。当任何用户单击这些特定链接时，将打开另一个页面，其中包含一个 ASP 登录控件。用户必须提供有效的用户名和密码才能显示指向限制性页面的链接。但作为一个新手，我不知道如何利用 ASP 登录控件的全部功能。因为，如果用户知道受限页面的确切 url，那么他/她可以绕过登录控制，通过在地址栏中输入 url 直接访问这些页面。我想防止这种情况。如果用户直接在地址栏中键入 url，我希望页面本身应该检查，

我如何实现这个功能？

谢谢你。

拉利特·库马尔·巴里克

我们正在开发一种 SSO 解决方案，该解决方案允许用户通过 .net 登录，然后最终访问 PHP 应用程序。我在 PHP 端工作，经过大量工作，我已经对 .net 使用用户名和票证到期日期设置的 cookie 进行了解码、解析和其他操作。

至少我认为我有。我现在的困难是 .net 开发人员现在太忙了，无法设置生成这些 cookie 的测试登录页面，以便我可以真正进行测试。我想知道设置这个测试页面需要多长时间。我的感觉是它不应该花很长时间，但我从来没有做过。（上帝禁止我像一个客户告诉开发人员“应该只需要一个小时左右。”）

我只是想知道我应该合理地期待什么。简单的登录创建一个formsauth票并将登录的用户发送到我的测试页面。FWIW，他们已经为当前正在使用的 .net 应用程序设置了任意数量的登录页面。

编辑：为了澄清，我不会实施这个。我想知道.net 开发人员这样做需要多长时间。

我们有一个场景，我们希望检测用户何时离开我们的站点并立即使他们的 .Net 会话过期。我们正在使用表单身份验证。我们不是在谈论我们已经拥有的会话超时。我们想知道用户何时通过链接、输入地址或关注书签离开了我们的网站。如果他们返回我们的网站，即使是马上，他们也必须重新登录（我知道这不是很好的可用性 - 这是我们客户提出的安全要求）。

我最初的直觉是，这要么是不可能的，要么是任何解决方案都极其不可靠。我们提出的唯一解决方案是：

• 添加一个 JavaScript onBlur 事件处理程序，告诉服务器在用户离开站点时注销会话。
• 用户登录后，检查 HTTP 引荐来源网址以确保用户已从站点内导航。
• 将 AJAX 轮询添加回服务器以保持会话刷新，可能间隔为 10 秒。当未按时收到呼叫时，会话将结束。

onBlur 似乎是最简单但可能最不可靠的方法 - 我不确定它是否会起作用。推荐人方法也存在问题，因为用户可以在网站内输入地址而不点击链接。AJAX 方法似乎可以工作，但它很复杂——我什至不确定如何在后端处理它。我在想可能还有一些情况并不总是有效。

任何想法，将不胜感激。谢谢。

我已经建立了自定义成员资格和角色提供程序。用户是属于公司的一些客户，我使用公司作为角色。

我想创建 SharePoint Group 并向其中添加更多公司（例如行业类型），然后由 SPGroup 进行重定向和安全性。

如何检索当前登录用户的 SPGroup？
我想在我的自定义登录页面中这样做，所以另一个问题是如何在知道登录名的情况下检索 SPUser 或 SPGroup ？

这就是我现在所拥有的：

但是我有一种感觉，我不应该像这样手动执行此操作。如果只将角色添加到组中，目标受众将如何工作？