問題タブ [forms-authentication]

クライアントのページをホストするマルチテナンシーWebサイトを作成しています。URLの最初のセグメントは、次のURLルーティングスキームを使用してGlobal.asaxで定義されたクライアントを識別する文字列になります。

これは、/ foo / Home/IndexなどのURLで正常に機能します。

ただし、[Authorize]属性を使用する場合、同じマッピングスキームを使用するログインページにリダイレクトしたいと思います。したがって、クライアントがfooの場合、ログインページはweb.configで定義された固定の/ Account / Loginリダイレクトではなく、/ foo / Account/Loginになります。

MVCはHttpUnauthorizedResultを使用して401の不正なステータスを返します。これにより、ASP.NETはweb.configで定義されたページにリダイレクトされると思います。

では、ASP.NETログインリダイレクトの動作をオーバーライドする方法を知っている人はいますか？または、カスタム認証属性を作成してMVCでリダイレクトする方がよいでしょうか？

編集-回答： .Netソースを掘り下げた後、カスタム認証属性が最善の解決策であると判断しました：

ASP.NET MVC ソリューションをテスト駆動の方法で使用しており、フォーム認証を使用してアプリケーションにユーザーをログインさせたいと考えています。コントローラーで最終的にやりたいコードは次のようになります。

私の質問は、このコードを正当化するためのテストをどのように作成すればよいですか?

SetAuthCookie メソッドが正しいパラメーターで呼び出されたことを確認する方法はありますか?

偽/モック FormsAuthentication を注入する方法はありますか?

フォーム認証が必要なディレクトリに Web サービス (asmx ファイル) があります。

VS2005 を介して WebReference を追加しようとすると、次のエラーが表示されます。

そのディレクトリの web.config を削除すると (そして基本的にフォーム認証の要件を削除すると)、すべて正常に動作します。WebReference を追加できます。

何か案が？

サーバーに中央認証アプリケーションがあります。サーバーbには、サーバーaから認証する必要がある同じドメイン上の1つ以上のアプリケーションがあります。サーバーbアプリがサーバーaにリダイレクトされるように設定するのは簡単です。それほど簡単ではないのは、ReturnURLを絶対にすることです。

これがしわです。サーバーbの消費アプリには、パブリックとセキュアの2つのコントローラーがあります。[authorize]装飾がパブリック（デフォルトのコントローラー）のアクションに配置されている場合、適切な絶対URLを取得します。ただし、それが独自のコントローラーにある場合は、相対URLを取得します。

消費するアプリケーションで事前リクエストイベントをインターセプトすることはできますが、スマッシュ全体ではなく、サイトの一部を公開する必要があります。

アイデア？

次の要件を持つ ASP.NET アプリケーションで認証を構築することを検討しています。

• ユーザーはただ 1 つの役割 (すなわち、管理者、セールスマネージャー、セールスなど) を持ちます。
• ロールには、既存のオブジェクトのサブセットに CRUD アクセスするための一連の権限があります。つまり、「Sales には、オブジェクト タイプ「Products」に対する CREAD、READ、WRITE 権限がありますが、DELETE 権限はありません」
• どういうわけか、アクセス許可が継承のある階層にあるのが好きなので、管理者は利用可能なすべてのオブジェクトを指定する必要がありません。
• システムは、「ユーザー X はオブジェクト Z に対して Y を実行する権限を持っていますか?」という質問に迅速に答えることができなければなりません。
• すべてのデータベース管理 (MSSQL)、C#/ASP.NET で実装

これらの要件に関するフィードバックを希望しますか? ASP.NETフレームワークを使用してこれを実装する方法はありますか(可能な限り)? （ただし、メンバーシップなしでこれを達成する方法も知りたいです）

ajax 呼び出し (具体的には jQuery ajax) を利用するために、かなり集中的な CRUD タイプの ASP.NET ページを書き直そうとしています。これを行う際の私の懸念は、ユーザーがフォーム認証のタイムアウトよりも長くこのページにいる可能性があることです。このため、各 ajax 呼び出しでフォーム認証チケットを拡張する必要があると考えています (基本的に、通常の Web フォーム送信モデルで行う方法)。だから質問：

これは有効な懸念ですか？もしそうなら、フォーム認証のタイムアウトを延長するためのjQueryプラグインを書くことは可能でしょうか? すでに存在しますか？ASP.NET AJAX を使用する方が良い方法でしょうか?

コメント\ヘルプをいただければ幸いです。

これに対して私の頭を少し長すぎた。FormsAuthentication.SignOutを使用してログアウトした後、ユーザーがサイトのページを閲覧できないようにするにはどうすればよいですか？私はこれがそれをすることを期待します：

しかし、そうではありません。URLを直接入力しても、ページを参照できます。私はしばらくの間、自分でロールするセキュリティを使用していなかったので、なぜこれが機能しないのかを忘れています。

ASP.Net フォーム認証を使用しているときに、.ASPXAUTH Cookie に遭遇しました。いくつか質問があります。

• このクッキーの目的は何ですか?
• このクッキーの場所は?

次のコードでFormsAuthenticationModuleのAuthenticateイベントにフックするHttpModuleがアプリケーションにあります。

残念ながら、アプリは中程度の信頼性の環境で実行する必要があるため、context.Modulesの呼び出しは失敗します。このイベントに参加する別の方法はありますか？

何を試しても、ユーザーが 10 分後にログオフされるという、非常に悪い問題が発生しています。

適用可能なすべての更新プログラムと .Net 3.5 SP1 を備えた仮想サーバーとして実行されている Server 2003 R2 Standard Edition 上の IIS 6.0 で実行されている ASP.Net 2.0 を使用しています。

クライアントは Internet Explorer 7.0 です

以下は、web.config 設定です。

以下は、認証 Cookie を設定するために使用されるコードです。

以前は FormsAuthentication.SetAuthCookie を使用していましたが、FormsAuthentication.RedirectFromLoginPage メソッドも試していましたが、これらはどちらも同じ結果でした。 FormsAuthentication クラスが行います。

この問題は、Visual Studio 2008 asp.net ホスティング環境または IIS 7.0 では再現できません。

EDIT : ホストされたサイトが信頼できるサイトとして追加されていても、Cookie は有効になっています。

編集: Google Chrome と Firefox にはこの問題はありません。

EDIT : ターゲット マシンの検証済み Cookie は、設定に従って 4 時間後に期限切れになるように設定されています (タイムアウト = 240 分)。

編集：ハウスが言うように、誰もが嘘をつきます。ユーザーは新しいコード ベースを実際にテストせず、ソフトウェアがまだ壊れているという先入観を持っていました。このトピックに返信してくださった皆様、ありがとうございます。

関連性がなくなったためにこれを閉じるのではなく、この質問には非常に優れたトラブルシューティング手法がいくつかあるため、人々が問題のトラブルシューティングを行うのに役立つようにしておいてください。