标签:res protect timeout out decrypt 退出 ued val 原因
这两天在研究 Forms 进行用户验证, 它本身没有什么上msdn上查一下就知道怎么个搞法了! 不过我在测试的时候发现也会产生
了一些疑问!
1. 什么我在web.config 的 authentication节点下的 Forms 中设置了Domain,当我FormsAuthentication.SetAuthCookie(loginName, false);
之后, 然后 HttpContext.Current.User.Identity.Name 的时候总是返回给我 "", 这个让我很郁闷!
2. 即然在 config 指定了不行,那我就在代码中指定用户cookie 的 Domain, 但是问题又出现了.
a). 还是无法取到 Identity.Name 的值.
b). 用户成功退出.
如果我们对于 Cookie 的 Domain 不处理的语,也就没有我上面所说的问题.
常规做法:
1, 配置 web.config 节点
<!-- 通过 <authentication> 节可以配置 ASP.NET 使用的 安全身份验证模式, 以标识传入的用户。 --> <authentication mode="Forms"> <forms name=".Bk5173" protection="All" timeout="30" path="/" requireSSL="false" cookieless="UseDeviceProfile" enableCrossAppRedirects="false"> </forms> </authentication>
2. 验证用户的用户名和密码合法之后:
//设置用户的 cookie 的值 FormsAuthentication.SetAuthCookie(loginName, false);
3 . 上一步就是把用户的名称写 cookie, 之后的话就可以 获取用户的名称.
string idenName = HttpContext.Current.User.Identity.Name;
4. 我们就可以根据 idenName 来对用户判断了. 如果 idenName = "" 的话那么就跳转到 登陆页面让用户登陆,否则的话就显示出用户的名称到 UI 当中.
5. 退出时,用下面的方法就可以了.
FormsAuthentication.SignOut();
到这里,不知有没有注意,都没有对于Cookie Domain 进行设置, 这也正是我将要做的.修改以上的方法.
1).修改方法:
//设置用户的 cookie 的值 FormsAuthentication.SetAuthCookie(loginName, false);
为以下方法:
//设置用户的 cookie 的值 FormsAuthentication.SetAuthCookie(loginName, false); //获取用户的 cookie HttpCookie cookie = FormsAuthentication.GetAuthCookie(loginName, false); //给用户的 cookie 的值加上 cookie 的域 和 过期日期 //更新 用户 cookie FormsAuthenticationTicket oldTicket = FormsAuthentication.Decrypt(cookie.Value); FormsAuthenticationTicket newTicket = new FormsAuthenticationTicket(1, oldTicket.Name, oldTicket.IssueDate, DateTime.Now.AddMinutes(30), oldTicket.IsPersistent, oldTicket.UserData, FormsAuthentication.FormsCookiePath); cookie.Domain = cookieDomain; cookie.Value = FormsAuthentication.Encrypt(newTicket); //更新 cookie HttpContext.Current.Response.SetCookie(cookie);
2). 修改用户退出时的方法
HttpCookie cookie = HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName]; cookie.Domain = cookieDomain; cookie.Value = null; cookie.Expires = DateTime.Now.AddDays(-1); //更新cookie HttpContext.Current.Response.Cookies.SetCookie(cookie); FormsAuthentication.SignOut();
但是如果按照以上的做法的是无法获取到 Identity.Name 的. 经过分析和查找了相关的资料后将以上方法修改成
1).
//设置用户的 cookie 的值 FormsAuthentication.SetAuthCookie(loginName, false); //获取用户的 cookie HttpCookie cookie = FormsAuthentication.GetAuthCookie(loginName, false); //给用户的 cookie 的值加上 cookie 的域 和 过期日期 //向客户端重写同名的 用户 cookie FormsAuthenticationTicket oldTicket = FormsAuthentication.Decrypt(cookie.Value); FormsAuthenticationTicket newTicket = new FormsAuthenticationTicket(1, oldTicket.Name, oldTicket.IssueDate, DateTime.Now.AddMinutes(30), oldTicket.IsPersistent, oldTicket.UserData, FormsAuthentication.FormsCookiePath); cookie.Domain = cookieDomain; cookie.Value = FormsAuthentication.Encrypt(newTicket); HttpContext.Current.Response.Cookies.Add(cookie); 2). HttpCookie cookie = HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName]; cookie.Domain = cookieDomain; cookie.Value = null; cookie.Expires = DateTime.Now.AddDays(-1); HttpContext.Current.Response.Cookies.Add(cookie); FormsAuthentication.SignOut();
这样的话用户就可以成功登陆和退出了!
可能的原因我估计是cookie 有服务器和客户端之分.所以才会从新生成一个验证票据让之前同名的失效.
FormsAuthentication.SetAuthCookie
标签:res protect timeout out decrypt 退出 ued val 原因
原文地址:http://www.cnblogs.com/Alex80/p/7807964.html