使用Forms Authentication 身份验证 之 Basic Knowledge

与Forms Authentication相关的配置

　　在web.config文件中，<system.web>/<authentication>配置节用于对验证进行配置。为<authentication>节点提供mode="Forms"属性可以启用Forms Authentication。一个典型的<authentication>配置节如下所示：
 

<authentication mode="Forms">
<forms
  name=".ASPXAUTH"
  loginUrl="login.aspx"
  defaultUrl="default.aspx"
  protection="All"
  timeout="30"
  path="/"
  requireSSL="false"
  slidingExpiration="false"
  enableCrossAppRedirects="false"
  cookieless="UseDeviceProfile"
  domain=""
  />
</authentication>

以上代码使用的均是默认设置，换言之，如果你的哪项配置属性与上述代码一致，则可以省略该属性例如<forms name="MyAppAuth" />。下面依次介绍一下各种属性：

l  name——Cookie的名字。Forms Authentication可能会在验证后将用户凭证放在Cookie中，name属性决定了该Cookie的名字。通过FormsAuthentication.FormsCookieName属性可以得到该配置值（稍后介绍FromsAuthentication类）。

l  loginUrl——登录页的URL。通过FormsAuthentication.LoginUrl属性可以得到该配置值。当调用FormsAuthentication.RedirectToLoginPage()方法时，客户端请求将被重定向到该属性所指定的页面。loginUrl的默认值为“login.aspx”，这表明即便不提供该属性值，ASP.NET也会尝试到站点根目录下寻找名为login.aspx的页面。

l  defaultUrl——默认页的URL。通过FormsAuthentication.DefaultUrl属性得到该配置值。

l  protection——Cookie的保护模式，可取值包括All（同时进行加密和数据验证）、Encryption（仅加密）、Validation（仅进行数据验证）和None。为了安全，该属性通常从不设置为None。

l  timeout——Cookie的过期时间。

l  path——Cookie的路径。可以通过FormsAuthentication.FormsCookiePath属性得到该配置值。

l  requireSSL——在进行Forms Authentication时，与服务器交互是否要求使用SSL。可以通过FormsAuthentication.RequireSSL属性得到该配置值。

l  slidingExpiration——是否启用“弹性过期时间”，如果该属性设置为false，从首次验证之后过timeout时间后Cookie即过期；如果该属性为true，则从上次请求该开始过timeout时间才过期，这意味着，在首次验证后，如果保证每timeout时间内至少发送一个请求，则Cookie将永远不会过期。通过FormsAuthentication.SlidingExpiration属性可以得到该配置值。

l  enableCrossAppRedirects——是否可以将以进行了身份验证的用户重定向到其他应用程序中。通过FormsAuthentication.EnableCrossAppRedirects属性可以得到该配置值。为了安全考虑，通常总是将该属性设置为false。

l  cookieless——定义是否使用Cookie以及Cookie的行为。Forms Authentication可以采用两种方式在会话中保存用户凭据信息，一种是使用Cookie，即将用户凭据记录到Cookie中，每次发送请求时浏览器都会将该Cookie提供给服务器。另一种方式是使用URI，即将用户凭据当作URL中额外的查询字符串传递给服务器。该属性有四种取值——UseCookies（无论何时都使用Cookie）、UseUri（从不使用Cookie，仅使用URI）、AutoDetect（检测设备和浏览器，只有当设备支持Cookie并且在浏览器中启用了Cookie时才使用Cookie）和UseDeviceProfile（只检测设备，只要设备支持Cookie不管浏览器是否支持，都是用Cookie）。通过FormsAuthentication.CookieMode属性可以得到该配置值。通过FormsAuthentication.CookiesSupported属性可以得到对于当前请求是否使用Cookie传递用户凭证。

l  domain——Cookie的域。通过FormsAuthentication.CookieDomain属性可以得到该配置值。

有关<forms>节点的更多说明，请参见MSDN文档（http://msdn2.microsoft.com/zh-cn/library/1d3t3c61(VS.85).aspx）。

FormsAuthentication类

FormsAuthentication类用于辅助我们完成窗体验证，并进一步完成用户登录等功能。该类位于system.web.dll程序集的System.Web.Security命名空间中。通常在Web站点项目中可以直接使用这个类，如果是在类库项目中使用这个类，请确保引用了system.web.dll。

该类少数几个常用的方法。

RedirectToLoginPage方法用于从任何页面重定向到登录页，该方法有两种重载方式：

public static void RedirectToLoginPage ()
public static void RedirectToLoginPage (string extraQueryString)

　　两种方式均会使浏览器重定向到登录页（登录页的URL由<forms>节点的loginUrl属性指出）。第二种重载方式还能够提供额外的查询字符串。

RedirectToLoginPage通常在任何非登录页的页面中调用。该方法除了进行重定向之外，还会向URL中附加一个ReturnUrl参数，该参数即为调用该方法时所在的页面的URL地址。这是为了方便登录后能够自动回到登录前所在的页面。

RedirectFromLoginPage方法用于从登录页跳转回登录前页面。这个“登录前”页面即由访问登录页时提供的ReturnUrl参数指定。如果没有提供ReturnUrl参数（例如，不是使用RedirectToLoginPage方法而是用其他手段重定向到或直接访问登录页时），则该方法会自动跳转到由<forms>节点的defaultUrl属性所指定的默认页。

　　此外，如果<forms>节点的enableCrossAppRedirects属性被设置为false，ReturnUrl参数所指定的路径必须是当前Web应用程序中的路径，否则（如提供其他站点下的路径）也将返回到默认页。

RedirectFromLoginPage方法有两种重载形式：

public static void RedirectFromLoginPage (string userName, bool createPersistentCookie)
public static void RedirectFromLoginPage (string userName, bool createPersistentCookie, string strCookiePath)

userName参数表示用户的标识（如用户名、用户ID等）；

createPersistentCookie参数表示是否“记住我”；

strCookiePath参数表示Cookie路径。

RedirectFromLoginPage方法除了完成重定向之外，还会将经过加密（是否加密取决于<forms>节点的protection属性）的用户凭据存放到Cookie或Uri中。在后续访问中，只要Cookie没有过期，则将可以通过HttpContext.User.Identity.Name属性得到这里传入的userName属性。

　　此外，FormsAuthentication还有一个SignOut方法，用于完成用户注销。其原理是从Cookie或Uri中移除用户凭据。