使用する場合
<authentication mode="Forms">
<forms
cookieless="UseUri"
slidingExpiration="true"
timeout="60"
/>
</authentication>
この変更を行うと、匿名ユーザーとしてアクセスすると、URLは以前とまったく同じように表示されます。たとえば、Default.aspxページにアクセスすると、ブラウザのアドレスバーに次のURLが表示されます。
http://localhost:2448/default.aspx
ただし、ログインすると、フォーム認証チケットがURLに埋め込まれます。たとえば、ログインページにアクセスしてSamとしてログインすると、Default.aspxページに戻りますが、今回のURLは次のとおりです。
http://localhost:2448/(F(jaIOIDTJxIr12xYS-VVgkqKCVAuIoW30Bu0diWi6flQC-FyMaLXJfow_Vd9GZkB2Cv-rfezq0gKadKX0YPZCkA2))/default.aspx
注: Cookieなしの認証チケットは、認証チケットがURLに直接埋め込まれているため、リプレイ攻撃を受けやすくなります。Webサイトにアクセスしてログインし、そのURLを同僚への電子メールに貼り付けるユーザーを想像してみてください。有効期限が切れる前に同僚がそのリンクをクリックすると、メールを送信したユーザーとしてログインします。
これは、Cookieなしの認証を使用する場合に考えられる欠点のひとつです。このアプローチの他の考えられる欠点を知りたいと思っています。
ありがとう