問題タブ [forms-authentication]

基本的に、FormsAuthentication_OnAuthenticateの反対のイベントを探しています。ユーザーがログアウトしたときにデータベースからいくつかの値を削除したい。Session_Endイベントに入れてみましたが、実行するまでにユーザーはもういなくなっているようです。

更新：特定のユーザーがいつ認証解除されたか（つまり、セッションタイムアウトが原因）を判断できない場合、現在認証されているすべてのユーザーのリストを取得する方法はありますか？可能であれば、Session_Endで、現在認証されているユーザーに関連付けられていないレコードをDBから削除することができます。

asp.netCreateUserWizardコントロールを使用しています。WizardStepを追加しました。ユーザーがアカウントを作成できるようにする前に、内部データベースに対して3つのデータポイントを検証する必要があります。ただし、次のボタンクリックをコードビハインドメソッドに接続してデータを確認しようとすると、コードビハインドでイベントが発生することはありません。

以下は次へボタンのコードです-

このように配線する必要がありますか？ウィザードは、どのステップを実行しているかを判断する方法を提供するので、すべてのステップをチェックする必要はありませんか？

もう1つ質問があります。ユーザーが現在ログインしているかどうかにかかわらず、フォームベースの認証と追跡を効果的に利用するには、すべてのページをLoginViewコントロールでラップする必要があるように思われるため、セッションが期限切れになった場合は、「ログインしたテンプレートビュー？正しい？

FBA と AD 認証が有効になっている moss ドキュメント センターの Web サイトを持っています。画像ライブラリを作成した後、FBA URL からサイトにアクセスすると、機能が低下したようです。

各 IIS Web サイトの web.config ファイルを比較しましたが、それらは同じです (必要な追加の FBA 情報は別として)。

ここに私が言いたいことを説明するための2つの写真があります.

この図は、AD 認証を介して Web サイトにアクセスするときに、画像ライブラリで使用できるオプションを示しています。

代替テキスト http://www.abbeylegal.com/Downloads/2006-07-26/Ad%20Authentication.jpg

この図は、FBA 認証を使用して Web サイトにアクセスするときに、画像ライブラリで使用できる縮小されたオプションを示しています。

代替テキスト http://www.abbeylegal.com/Downloads/2006-07-26/FBA%20Authentication.jpg

他の誰かがこの動作を見ましたか? 本当に奇妙だと思います。

jQuery ajax 呼び出しを使用して、ASP.NET MVC でフォーム認証を実行することは可能ですか? そのような例を見つけることができませんでした。

より具体的には、認証された ajax リクエストを連続して作成できるように、(リダイレクトなしで) ページに認証 Cookie を設定するにはどうすればよいですか?

私は少し奇妙なジレンマに陥っています。説明しようと思いますので、ご容赦ください！

フォーム認証を使用しており、追加のユーザー情報を別のテーブルに保存しています（Forms Authから参照されるUserID、暗号化されたSSN、Salt値）。ユーザーがサイトに登録するとき、私はSSN、DOB、LNameに質問し、アカウントを作成する前にシステムと照合します。そのSSNにフォーム認証で関連付けられたアカウントがあるかどうかを確認したいと思います。SSNはソルト値で暗号化されているため、各行を確認せずにルックアップを実行することはできません。

SSNごとに1つのユーザーアカウントのみが必要です。ソルト値を使用すると、これが混乱します。

私の見方では、これを回避する唯一の方法は、SSNに一般的な暗号化アルゴリズムを使用することです。ユーザーが入力するときに、同じ暗号化アルゴリズムを適用して、ユーザー拡張プロパティテーブルに値が一致するかどうかを確認します。

これで十分安全ですか？

.NET の認証、メンバーシップ、および/またはプロファイル プロバイダー機能を利用して、.NET Web アプリを会社のエンタープライズ ポータルに統合できるかどうか疑問に思っています。簡単に言うと、ポータルは、ユーザー名、ユーザー プロファイル データ、一部のアクセス権などのフィールドについて、ポータルの「背後」にある任意のアプリケーションにカスタム ヘッダー値を送信します。ポータルに関する問題の 1 つは、Web で利用可能な .NET アプリの多くを活用できないことです。これは、主にユーザーが既に認証されていることを信頼するために、「ポータル対応」になるように設計されていないためです。

カスタム認証プロバイダーを作成して (または何らかの方法でフォーム認証を利用して)、ヘッダー (および IP) を見て、そのユーザーとして自動的に「認証」することは可能でしょうか? 私の考えでは、プロファイル プロバイダー、おそらくメンバーシップ プロバイダーを作成し、何らかの方法で認証を追加することで、Oxite ブログ (私が見つけた .net mvc デモ) のようなクールなコンポーネントをダウンロードし、プロバイダーをカスタム プロバイダーに切り替えて、活用できるようになると考えています。最小限のコード変更で会社のポータルの背後にある。

これは意味がありますか？これらのコンポーネントがパズルにどのように適合するかを理解していない可能性があると感じています.

バグ：

「.www.mydomain.com」と「www.mydomain.com」に同じCookieキーを設定することがあるASP.NETWebアプリケーションがあります。ASP.NETが設定するデフォルトのCookieドメインと、誤ってサイトをコーディングして「。」を付加する方法を理解しようとしています。Cookieドメインに。

2つのCookieが同じキーを持ち、ブラウザーから送信される場合、ドメイン値がヘッダーで送信されないため、ASP.NETWebアプリケーションは2つを区別できません。（私の前の質問を参照してください）

証拠：

WebサーバーでW3Cログを有効にし、両方のCookieがクライアントから送信されることを確認しました。これがログファイルの例です（簡潔にするためにペアになっています）。

考えられる要因：

サブドメイン対応のフォーム認証を使用しています。

これが私のweb.config設定です：

カスタムCookieの設定例は次のとおりです。

Cookieを設定する別の例を次に示します。

望ましくない解決策：

手動でCookieドメインを特定の値にすることはできますが、ドメインを明示的に宣言することは避けたいと思います。デフォルトのフレームワークの動作を使用し、ASP.NETの使用を変更して、「。」を付加しないようにします。カスタムCookieのCookieドメインに。

SSOログインプロセスでは、SQLServerのカスタムユーザーストアに対してフォーム認証を使用します。

新しいセキュリティ要件の1つは、アカウントが一度に1つのアクティブなセッションのみを持つことを許可することです。そのため、ユーザーがログインするたびに、ログイン資格情報がすでにアクティブになっているかどうかを確認し、できれば、他のセッションが終了するまで新しいユーザーが再度ログインできないようにします。または、実装が簡単な場合は、他のセッションを強制的に終了することもできます。

フォーム認証でこれを行う簡単な方法はありますか？データベース内の各セッションを追跡するカスタムアプローチを検討しましたが、それは多くの作業であり、おそらく、session_endを検出するためにすべてのアプリケーションを変更する必要がありますが、これは避けたいと思っています。これを処理する何かがFormsAuthにある必要があると思います。

MembershipUser.IsOnline（）メソッドを見てきましたが、これは理想的なようですが、Membershipプロバイダーを使用していません。

更新：明確にするために、現在のユーザーがログインしているかどうかを確認する必要はありません。他の誰かが同じアカウントを使用してすでにログインしているかどうかを知る必要があります。

質問 1 - ユーザーがメールと生成されたパスワードなしでパスワードをリセットできるようにしたいと考えています。ユーザーは、作成したカスタム フォームによって内部データベースに対して自分自身を確認します。次に、ユーザー名とセキュリティに関する Q&A を求めたいと思います。セキュリティ QA のやり方がわからないので、パスワード回復コントロールをカスタマイズすることにしました。新しいパスワードを記載したメールを送信したくありません。むしろ、ユーザー名と質問が正しい場合は、パスワードのリセット ページに送りたいと思います。

カスタム コードを記述するか、事前に構築されたコンポーネントを使用して、セキュリティの質問をして比較する方法はありますか。また、パスワードをリセットしたら、どうすればパスワードを設定できますか?

質問 2 - 「ユーザー名を忘れた」問題に取り組んでいます。最初にデータベースに対して検証します。入力内容に基づいて、フォーム認証データベースでユーザー名とユーザー ID を突き合わせて見つけることができます。セキュリティに関する質問をしたいのですが、入力した内容からハッシュを作成して、ユーザーの aspnet データベースの内容を比較する方法がわかりません。これを行う方法はありますか？

ありがとう！！！