我正在尝试重新创建我的cookie,它通常由FormsAuthentication.SetAuthCookie()生成,以及webconfig中的内容。
<authentication mode="Forms">
<forms loginUrl="~/Account/LogOn" protection="All" timeout="20160" name=".ASPXAUTH" path="/" requireSSL="false" slidingExpiration="false" defaultUrl="default.aspx" cookieless="UseDeviceProfile" enableCrossAppRedirects="false"/>
</authentication>
但是我想再发送一条数据,据我所知,我必须创建自己的FormsAuthenticationTicket来添加这些数据(或者将它全部与SetAuthCookie中的userName合并并进行拆分)。
所以我试图让它与webconfig中的安全(或更安全)一样,具有与从webconfig生成的值相同的值。
所以这就是我到目前为止的作品
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, "chobo2", DateTime.Now, DateTime.Now.AddYears(10), true, "test");
string encTicket = FormsAuthentication.Encrypt(ticket);
Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, encTicket));
但是我仍然不确定它的用途。它是否使用来自webconfig的东西?因为它不要求cookieName也不要求超时。
当我通过网络开发人员查看此Cookie时,它表示它不安全,并且会在会话结束时到期。
当我查看从webconfig生成的那个时,它的有效期为10月12日,但仍然表示不安全(猜测它是指SSL)。
此外,我仍然对userData感到困惑。如何添加我以后获取此值?如何添加更多,然后一次数据?
我是否总是必须解密(即调用解密方法)来解密cookie或自动执行此操作。
默认情况下,cookie使用哪种加密方式?
由于
答案 0 :(得分:3)
您需要在表单身份验证票证上手动设置所有这些属性。您可以通过FormsAuthentication类上的静态访问器访问大多数值。只有在使用FormsAuthentication.GetAuthCookie或FormsAuthentication.SetAuthCookie时才会使用web.config中的配置设置。
可以通过提取和解密表单身份验证票证然后使用解密票证上的UserData属性访问器来检索用户数据。
您将始终需要解密故障单以访问用户数据。
http://msdn.microsoft.com/en-us/library/ms998310.aspx包含有关使用的加密和验证密码的详细信息,但默认情况下,故障单使用AES加密并使用SHA1(HMACSHA1)进行验证。
http://support.microsoft.com/kb/910443包含更多信息和链接,可以回答您的任何其他问题。