問題タブ [forms-authentication]

フォーム認証を使用してReportingServicesを設定しています。私たちのアプリはReportingServicesの上にあり、その認証拡張機能をシングルサインオンとして使用します。

過去に機能していた単純なログオンページがありますが、この1台のマシンでは、ログオンボタンがクリックされたときにポストバックを拒否します。以下を使用してトレース情報をページに挿入しています。

ボタンをクリックするたびにセッションIDが変化するのを確認できます。プロセスにアタッチすると、InitComponentを通過することがわかりますが、btnLogon_clickコードにヒットすることはありません。

ただし、フィドラーを実行すると、すべてがうまくいき、正常にポストバックされます。

何が起こっている？タイムアウト？IIS設定が正しくありませんか？

編集： IE7（アプリはIEのみ）そして私はそれをOnInitのブレークポイントに数秒間置いたままにすると動作し、btnLogon_Clickの2番目のブレークポイントにヒットすることを理解しましたヒットしません。これは、ある種の奇妙なタイムアウトの問題を示しています。

私は Web サイトを書き直しており、ユーザーがアカウント ID (番号) とパスワードでログインする独自の認証モデルから、ユーザーが選択した (または利用可能な) ユーザー名でログインする .NET FormsAuthentication に移行しています。より強力なパスワード。38,000 を超える既存のアカウントがあり、既存のユーザーを再登録する必要があるかどうか、またはユーザーに代わってこれを行うコードを作成する必要があるかどうかを決定しようとしています。ユーザー名を変更できないため、ユーザーのユーザー名を作成することは既に除外しました。幸いなことに、Brenda Utthead という名前のユーザーはいません。

ユーザーが再登録した場合、この手順を再度実行する必要があることに不満を持っている人もいれば、サポート コールが発生する可能性もありますが、私は誰もが行う必要がある標準的なプロセスにとどまっています。または、ユーザーが既存のユーザー ID とパスワードでログインできるようにし、必要に応じて、アカウントを変換するための猶予期間を与えることもできます。後者は特別なコードであり、標準の認証メカニズムをバイパスし、ユーザーが安全性の低い資格情報を使用してログインできるようにするため、脅威のベクトルになる可能性があるため、私はためらっています.

このアプリケーションは現在、私たちのウェブサイトのトラフィックの約 40% を占めており、再登録が必要になる可能性があるため、ユーザーがウェブサイトに戻ってこないことを心配していません.

みんなどう思う？

誰かが Web ページの段落を編集できるアプリケーションを作成しています。jQuery を使用して、編集された段落データをハンドラーに送受信し、ハンドラーはデータを保存またはデータベースから読み取ります。問題は、フォーム認証がタイムアウトした場合、ハンドラーからログイン ページが返されることです。認証がタイムアウトした場合にクライアントまたはサーバーで検出し、ページ全体をログイン ページにリダイレクトする方法はありますか?

インターネット サイトに未登録ユーザー用のユーザー アカウント作成セクションを作成したいと考えています。CreateUserWizard コントロールと同じ質問をしたいのですが、いくつか変更があります。質問を SQL の質問ルックアップ テーブルから取得したいと考えています。ユーザーには利用可能な質問のドロップダウンが表示され、選択した質問 ID と回答が保存されます。また、ユーザー (SSN) に関するデータをもう 1 つ保存したいと考えています。

私の質問は次のとおりです。1) SSL を使用している場合、フォーム ベースの認証はこれに対する許容可能なソリューションですか? 2) 追加の列 (questionid と ssn) をメンバーシップ テーブルまたは別のテーブルに追加できますか? また、「祝福された」方法で情報を保存できるようにするにはどうすればよいですか? 将来的にパスワードのリセット/回復を追加したい場合、ソリューションは悪影響を及ぼしますか?

列を追加するとき、CreateUserWizard を使用するのではなく、Membership.CreateUser を呼び出すのは理にかなっていますか?

ありがとう！！

クライアントから、asp.netページからtrue / false値を取得して、ページにアクセスする権限があることを示す方法はありますか。フォーム認証を使用すると、ログインページにリダイレクトされます。単純なブール値が必要です。

アーロン

私はかなり一般的なシナリオのように見えるものを持っています: ユーザー/パスワードのリストを含むデータベースがあり、理想的には、誰かがサイトにアクセスしたときに、Windows 名 (内部) を使用したいと思います。ユーザー提供 (外部)。

私の主な質問は、ブラウザに応答を送信して、外部ユーザーのユーザー名/パスワードを要求するように強制する方法です (Windows 認証を使用するページにアクセスしたときなど)。誰もこれを以前にやったことがありますか？

私の主な目標は、ログイン画面の作成を避け、ブラウザに組み込まれているものを使用することです。組み込みのフォーム認証を利用してこれを行う方法はありますか?

ありがとう！

*更新: ここで探していたものに似たものが見つかりました: http://blog.codeville.net/2008/08/25/using-the-browsers-native-login-prompt/

ASP.NET (2.0) アプリケーションでは、FormsAuthentication を使用します。

Global.asax / Application_AuthenticateRequest メソッドで、HttpContext.Current.User が null かどうかを確認します。

フォーム認証 Cookie が存在するかどうか、チケットの有効期限が切れていないかどうか、およびフォーム認証メカニズムがユーザーを検証するジョブを完了したかどうかを知るには、これで十分でしょうか?

そのアプリケーションには特定のページがあり、(いくつかの基準に基づいて) アクセスするために認証を必要としない場合があり、それらを除外するために web.config の別の「場所」ディレクティブに配置するため、これが必要です。 「キャッチオール」フォーム認証から。

つまり、この「場所」でアクセスされたページに保護が必要かどうかを Application_AuthenticateRequest で確認しようとしています。必要な場合は、ユーザーが既に認証されているかどうかを確認するか、ログオンにリダイレクトする必要があります。

編集:答えが示唆するように、おそらく IsAuthenticated を使用します。私がそれをよりよく理解するために、ここに2つのボーナス質問があります:) (他の回答を編集してこれらを追加してください、ありがとう):

1. IsAuthenticated が true の場合、HttpContext.Current.User には認証されたユーザーのユーザー名が確実に含まれると仮定できますか?

2. FormsAuthentication が適用され、「location」ディレクティブで除外されるページが少ない場合、HttpContext.Current.User で「匿名ユーザー」になるにはどうすればよいですか?

拡張サイトに FBA を設定し、ユーザーを追加し、中央管理者がユーザーを読み取れることを確認しました (ユーザー ピッカーは正常に動作します)。

問題は、何を試しても資格情報を求められることはなく、「このページを表示する権限がありません」というメッセージが表示されるだけです。IIS に何かあるような気がしますが、考えられるすべての匿名アカウントを追加しました。

認証タイプを Windows に戻すと、正常に動作します。

私は無数のハウツーを読みましたが、ステップが欠けているとは思いません。それらはすべて、拒否された「ログインページが表示されるはずです」で終わります。

任意のヒント？

ASP.NETAjaxを使用してASP.NETページからWCFを呼び出しています。フォーム認証を使用してWebサイトを保護しています。

本番サーバーにデプロイされるまで、開発を通じてすべてが期待どおりに機能していました。その後、サービスが見つからなかったため、JavaScriptエラーが発生し始めました。本番サーバーはSSLを使用しているため、web.configに以下を追加しました。

これにより、JavaScriptエラーの発生は停止しましたが、WCFサービスは以前のように動作しなくなりました。

セキュリティを設定してASP.NETからWCFサービスへの呼び出しを転送する前に、AjaxはApplication_AuthenticateRequestGlobal.asaxでを実行します。IPrincipleこれにより、フォーム認証チケットにHttpContext.Current.User基づいてカスタムが設定されます。WCFサービスセットのコンストラクター。これにより、サービスはの間にセットにThread.CurrentPrinciple = HttpContext.Current.Userアクセスできます。IPrincipleApplication_AuthenticateRequest

セキュリティをトランスポートに変更した後、私のカスタムではないApplication_AuthenticateRequestため、セキュリティが実行されていないように見えます。Thread.CurrentPrincipleIPrinciple

トランスポートを使用する前と使用した後と同じ動作を得る方法を知っている人はいますか？

私のWebページは、WCFサービスを参照するために以下を使用しています。

私ので使用されているコードApplication_AuthenticateRequest：

非常に小さな ASP.NET Web アプリ (Web フォーム) でフォーム認証を使用しており、ユーザーに関する追加情報を別のデータベース テーブルに保存したいと考えています。

これはaspnet_Userテーブルにリンクされ、リンクするのに最適な列は列であると考えていましたUserId。問題は、ユーザーがログインしているときにこのデータを取得する方法がわからないことです。それは可能ですか?

また、メールアドレスはどうすれば取得できますか？

誰かがそれを指摘する前に、私は ProfileProvider を認識していますが、保存された詳細は毎年再提出する必要があり (スポーツクラブの登録申請です)、以前のすべてのデータが保存されています。したがって、ProfileProvider は実際には適用できません (私が間違っていて、履歴を保存するために使用できる場合を除きます)。