最近、Windows 認証を使用している既存のアプリケーションの認証方法を、Active Directory に対するフォーム認証に変更するよう依頼されました。
私にとって初めてだったのは、ログイン ページでのみ SSL を使用する必要があることでした。
これを含む多くの記事を見ると、認証チケットを作成するときに Encrypt メソッドを使用することが記載されています。
FormsAuthentication.RedirectFromLoginPage私の質問は、メソッドは暗号化された Cookie を作成しないのですか? では、なぜ認証チケットを手動で作成する必要があるのでしょうか?httpとhttpsを切り替える方法に関するこの素晴らしい記事を見てきました。ただし、私のコードはできるだけ邪魔にならないようにする必要があるため、後で本番環境で簡単にマージできます。では、web.config ファイルで代わりに絶対パスを使用するのは正しいでしょうか?
<authentication mode="Forms"> <forms loginUrl="https://localhost/Login.aspx" defaultUrl="http:/localhost/Default.aspx"/> </authentication>アプリは http と https を切り替えるため、 attribute を使用することはできません
requireSSL=true。を使用して Cookie を暗号化する以外に、他にどのような対策を検討する必要がありproection=Allますか?Active Directory 接続文字列を表示したままにしておくと、リスクはありますか? これは暗号化する必要がありますか?