Shi*_*iji 7 .net c# asp.net session forms-authentication
我们正在讨论表单身份验证的确如何运作.
是否所有标识用户的信息都存储在cookie中,或者是否存储在会话中的某些信息?
Rus*_*Cam 13
有关正在进行身份验证的用户的信息存储在FormsAuthenticationTicketcookie中,默认情况下名为.ASPXAUTH.
有关用户会话的信息与有关身份验证的信息不同.会话的标识符可以存储在cookie(与身份验证cookie不同的cookie)中,或者正如Henk指出的那样,存储在无cookie会话中,即作为URL的一部分.
在用户会话中存储有关身份验证的一些信息的问题是,在处理管道中的身份验证事件(后续5个事件IIRC)之后的一段时间内,该会话才可用PostAcquireRequestState.这意味着在身份验证之前,您无法访问会话中的身份验证数据!
可以在会话中存储数据并覆盖IIdentity和IPrincipal使用该数据,但这确实意味着用户身份将在会话可用之前具有事件的一些数据,并且会话之后的事件的不同数据可用,这可能或可能不是问题.此外,您可能希望以某种方式以加密方式保护会话中的数据.
要回答标题问题,表单身份验证不需要会话; 它们是不同目的所需的不同实体.
有关表单身份验证的工作原理,您可以查看以下链接:
表单身份验证适用于Web场方案,其中处理来自Forms身份验证用户的请求的服务器可能与实际身份验证用户并发出Forms身份验证票证和cookie的服务器不同,除非配置了无cookie表单身份验证.为了使这项工作,根据第一个链接的Web Farm Scenario部分:
要解决此问题,验证密钥和decryptionKey值必须在Web场中的所有计算机上都相同.有关配置machineKey元素的更多信息,请参见如何:在ASP.NET 2.0中配置MachineKey.
这表明Forms身份验证不会在ASP.NET会话中存储任何内容.否则,您还需要在适当的位置设置某种形式的进程外会话管理.
我手边还有一个示例表单身份验证应用程序,并希望快速证明这一点.通过表单身份验证进行身份验证并登陆主页后,我重新启动了运行示例应用程序的应用程序池,该应用程序池应该终止用户会话.然后,我点击了其中一个需要在主页上进行身份验证的链接,并且能够转到该链接而不会被重定向到登录页面.
| 归档时间: |
|
| 查看次数: |
2839 次 |
| 最近记录: |