問題タブ [formsauthentication]

ASP.NET サイトの 1 つにログインできないという報告が寄せられています。IIS ログを確認すると、ログオン後に FormsAuthentication Cookie がブラウザによってキャッシュされていないようです。

「ユーザーがブラウザで Cookie を受け入れないように設定した」ほど単純ではないと思います
。 - たとえば、ASP.NET セッション Cookie は正常に機能しているようです。
b) これらは通常、Cookie をオフにする方法さえ知っているようなユーザーではありません。

ですから、それは別のものでなければならないと思います。ASP.NET FormsAuthentication Cookie が機能しなくなる原因となる可能性があるのは、ユーザーがブラウザーで Cookie を拒否するように設定するだけでなく、どのような問題ですか?

編集:たとえば、別の質問へのこの回答は、フォーム認証 Cookie が大きすぎるためにドロップされることがあることを示唆しています。

編集: 私たちのサイトの 1 つの FormsAuthentication Cookie は 233 バイトです。これは少し大きいですか? 小さくできますか？多分それは役立つでしょう。

編集: コードFormsAuthentication.SetAuthCookie()で andResponse.Redirect()の代わりにFormsAuthentication.RedirectFromLoginPage()- が使用されていることに気付きました。

をゼロから作成しましたFormsAuthenticationTicketが、後で取得したときにUserDataが戻ってこないことがわかりました。使用されるコードは次のとおりです。

ただし、次の でこれを読み返すと、フィールドが空になっRequestていることがわかりました。UserData

何か案は？

ASP.NET MVC2 アプリケーションがあり、FormsAuthentication を使用して認証 Cookie を管理しています。Cookie の有効期限が切れてページがアクセスされると、フィールドにユーザー名を表示し、Remember Me をチェックする必要があります。Cookie の有効期限が切れてアクセスできない場合、どうすればこれを行うことができますか?

デフォルトのCookie名（「.ASPXAUTH」）で、ユーザー認証にFormsAuthentication（Cookieを使用）を使用しています。

私が必要としているのは、"/Admin/" 仮想ディレクトリ (ASP.NET MVC コントローラー "AdminController" によってサポートされている) の別のログイン システムです...あたかも "/Admin/" ディレクトリが別の Web アプリケーションであるかのように、ただし、私のソリューション内に別の Web プロジェクトを作成します。

FormsAuthentication で使用される Cookie 名を実行時にカスタマイズするにはどうすればよいですか? FormsAuthentication.FormsCookieName は読み取り専用 (および静的...) であり、web.config 内で一度だけカスタマイズできます...

カスタム FormsAuthenticationModule を作成する必要がありますか?

次のようなコントローラー フィルターは、優れたものになる可能性があります。

誰かが IE8 で私のシステムにログオンしようとすると、問題が発生します。明日まではすべて問題ありませんが、RedirectFromLoginPage メソッドを呼び出す回線にログオンしようとすると、ThreadAbortException 例外がスローされます。

いくつか調査した結果、createPersistentCookie を false に変更すると、正常にログに記録できることがわかりました。

なぜこれが起こっているのか、いくつかのアイデアを手伝ってくれる人はいますか?

みんなありがとう、私の英語でごめんなさい!!

フォーム認証と ActiveDirectoryMembershipProvider を使用する ASP.Net 4.0 アプリケーションがあります。Windows Server 2008 R2 で実行されている Active Directory に対して認証します。

パスワードの変更には ChangePassword コントロールを使用します。

ユーザーがパスワードを変更すると、しばらくの間古いパスワードでログオンできます。私のクライアントは、これはアプリケーションのセキュリティ上の問題だと感じています。ユーザーが変更した後、古いパスワードが機能しないことを確認する方法はありますか?

編集 : また、Web サーバーで iisreset を実行すると、古いパスワードが機能しなくなります。パスワードは Web アプリのどこかにキャッシュする必要があります

誰かがこの問題を解決するために私を助けてくれますか？私のasp.netアプリケーションでは、FormsAuthentication.SignOut（）;を使用しています。アプリケーションをサインアウトするためのメソッドですが、Javascript関数を使用してFormsAuthentication.SignOut（）を実装する必要があるという奇妙な要件が1つあります。出来ますか？はいの場合は、この要件を達成するためのサンプルコードを提供してください。

前もって感謝します

私は、CustomActiveDirectoryMembershipProviderと呼ばれるValidateUserActiveDirectoryMembershipProviderから直接継承しています。

オーバーライドされる唯一のメソッドはValidateUserです。

カスタムプロバイダーを使用すると、ユーザーが見つからないことを除いて、すべてが機能します。GetAllUsersは機能しますが、FindUsersByNameまたはEMailは機能しません。

同じ設定で元のプロバイダーに切り替えると、すべてが機能し始めます。

誰かがこの問題を抱えて解決しましたか？

SSL が混在する Web アプリケーション (asp.net 3.5) があります。すべてのアカウント関連ページは SSL 経由で配信されます。ほとんどの他のすべてのページは非 SSL 経由で配信されます。HTTPS と HTTP を自動的に切り替えるには、このコンポーネントを使用します。最近、セキュリティで保護されていない Wifi ネットワークでユーザー セッションを乗っ取る機能に関するニュースがありました。これは、非 SSL 接続を介して送信される Cookie をキャッチすることで可能になります。

これにより、この Web アプリケーションでのセキュリティの選択を見直すきっかけになりました。(再び) MSDN からこの記事を入手し、Formsauthentication でrequireSSL=trueプロパティを試しました。Web アプリケーションを開始する前に、この情報を含む Cookie が Web ブラウザーとの間で送受信されないため、非 SSL ページでは User.Identity が null になることに気付きました。

SSL 接続を介してユーザーを認証するメカニズムが必要です... 非 SSL ページであっても、この認証情報を記憶しています。

SOを検索しているときに、この投稿を見つけました。これは良い解決策だと私には思えます。しかし、Sessionstate にログイン情報を保存することで解決策を見つけることができるのでしょうか? Global.asax で Application_AuthenticateRequest をキャッチすることを考えています。接続が安全かどうかを確認し、authcookie またはセッションを確認します。これをどのように実装するのか、まだ正確にはわかりません。多分あなたはこれについて私と一緒に考えることができますか？

私はasp.netWebアプリケーションを持っており、そこではいくつかのajaxリクエストを処理するためにいくつかのサービスを使用しています。問題は、対応する呼び出しが私が提供したページに来るかどうかをどのように判断するかです。ページでフォーム認証を使用しています。同じフォーム認証を介してweserviceを呼び出すユーザーを承認する方法はありますか？