问题标签 [formsauthentication]

我有一个部署在 IIS 7.0 上的网站。我正在寻找的要求非常简单。根级别的身份验证启用了表单身份验证。但我需要在其中一个子文件夹中禁用表单身份验证端启用 Windows 身份验证。但我无法做到这一点！我尝试了不同的论坛，但似乎没有任何效果。请帮忙！

问题是，在根级别启用表单身份验证后，我无法在需要启用 Windows 身份验证的子文件夹之一中禁用表单身份验证！

请帮忙！

我的网站使用会话变量来存储登录状态，例如 Session["User"]，

并在每个页面中检查此会话变量，例如：

If (Session["User"] == null ) Response.Redirect("loginPage.aspx");

FormAuthentication 更安全吗？

谢谢。

我需要在 asp.net 网站中创建一个登录页面。我在 web.config 文件中声明了这段代码：

我在 Managment.aspx 中有一个按钮可以退出，它运行以下代码：

一切都很好，但是当我尝试使用退出按钮注销时，我给出了这个错误：

但是我没有在地址栏中指定的帐户文件夹！我在网站根目录中只有一个 Login.aspx 文件。我希望通过单击此按钮系统将控件直接转换为 Login.aspx 页面。这样对吗？我该如何解决这个问题？

我有一个使用表单身份验证的网站，并且用户通过活动目录进行身份验证。用户通过广告成功通过身份验证，但当应用程序尝试执行数据库操作时，用户“”出现异常登录失败。请让我知道这可能是什么原因以及可能的解决方案。

我在一个 asp.net 网站上工作，我在使用表单身份验证实现自定义角色提供程序时遇到了麻烦。

我有一个 SQL Server 数据库“MyBase”，其中包含一个“UserRoles”表，其中包含 UserRoleID、EmployeeID、RoleID 和 UserName 字段。当用户使用自定义登录页面（只有几个文本框、标签和一个按钮）登录时，我想从此表中检索用户的角色。

我已经搜索/阅读了几个问题、场景和示例，但我仍然在某个地方遗漏了一些东西，所以我正在寻求一些帮助。

到目前为止我做了什么：

在 web.config 中：

• 将身份验证模式设置为表单
• 设置会员提供者设置
• 设置角色提供者设置

我创建了以下自定义类并列出了子/功能/属性：

• RoleProvider --GetRolesForUser --IsUserInRole --ApplicationName
• MembershipProvider --GetUser --UpdateUser --ValidateUser
• 会员用户

在我的登录按钮中：

1. 我加密了用户的密码。
2. 调用我的自定义 MembershipProviders 的 ValidateUser MemProv.ValidateUser(txt_username.Text, encrypedPW)，它会正确返回 true 或 false。
3. 称呼FormsAuthentication.SetAuthCookie(txt_username.Text, False)
4. 调用我的自定义 RoleProvider 的 GetRolesForUser 函数：RoleProv.GetRolesForUser(txt_Username.Text)它会正确返回 String() 或角色。

当我检查我的 User.Identity 时，isAuthenticated = false 和 Name = ""。

我很确定我缺少 IIdentity 和/或 IPrincipal 的实现，但我不知道在哪里/如何实现它们。

所以我的问题是：

1. 我是否需要经历所有这些只是为了将我的角色保留在我创建的 SQL Server 表中？

2. 我需要合并 IIDentity 和 IPrincipal 吗？如果是这样，我该怎么做或在哪里做？

我想在控制台应用程序中生成 HashPasswordForStoringInConfigFile。它是在 Web 应用程序中使用以下类完成的

但是 System.Web.Security 类在控制台应用程序中不可用任何人都可以告诉我这个的替代方法或者是否可以在控制台应用程序中导入 System.Web.Security 类任何帮助将不胜感激

谢谢你苏维达

我使用开箱即用的 webforms 身份验证。

在请求“注销”并使用后：

通过从客户端浏览器中删除 cookie“.aspxauth”，用户将被注销。

这按预期工作。

我们的站点进行了安全审核，审核员声称当用户注销时身份验证令牌不会从服务器中删除。

我可以使用 Fiddler 重现这种行为。

• 我登录网站并复制 cookie “.aspxauth”
• 我注销：客户端上的 cookie 已删除，我无法再访问受保护的页面
• 我使用以前复制的 cookie“aspxauth”使用提琴手作曲家向网站发送请求。我可以使用该 cookie 访问受保护的页面。

预期的结果是，如果我注销，我将无法通过提供旧的 aspxauth cookie 访问受保护的页面。

有没有办法使服务器上的旧 aspxauth cookie 无效？

我正在构建一个 Web 应用程序，当用户登录时，他的凭据首先会根据数据库进行验证。如果凭据正确，则会创建 FormsAuthenticationTicket。然后从该票创建一个 cookie。设置了 Expires 和 Path 属性。见下文。

当我将响应重定向到新页面时，在 Page_Load 事件中会检查 cookie 的存在。

当我运行应用程序时，它的行为就像 cookie 变量为空一样。有什么我遗漏的吗？在此先感谢您的帮助。

我还在 web.config 中将域属性设置为 localhost。但是，它仍然不起作用。我使用 Google 的开发人员工具检查了 cookie，但在那里我看不到它。

由于我们在 FormsAuthentication 中没有 UserId 所以我想通过它。这是我的代码

现在问题是user.Id始终为 0FormsAuthentication.SetAuthCookie()

我该如何设置？

我有两个代码块，它们应该做同样的工作，即复制整个代码FormsAuthenticationTicket并更改其中存储在UserData.

第一个代码正确读取所有内容，包括UserData. 第二个不包括UserData。它只是返回一个空字符串。我意识到，当一个异常被抛出是因为如果一个空对象。

任何的想法？

第一个代码：

第二个代码：