我最近被要求使用Windows身份验证将现有应用程序的身份验证方法更改为针对Active Directory的Forms身份验证。
对我来说最新的是只需要在登录页面上使用SSL。
通过查看包括this one在内的许多文章,它说在创建身份验证票证时使用Encrypt方法。我的问题是,FormsAuthentication.RedirectFromLoginPage方法没有创建加密的cookie吗?那么,为什么需要手动创建身份验证票?
我一直在关注如何在http和https之间切换的this精彩文章。但是,我的代码需要尽可能减少干扰,因此可以在以后的生产中轻松合并。那么,在web.config文件中使用绝对路径是否正确?
<authentication mode="Forms">
<forms loginUrl="https://localhost/Login.aspx"
defaultUrl="http:/localhost/Default.aspx"/>
</authentication>
由于应用将在http和https之间切换,因此无法使用属性requireSSL=true。除了使用proection=All
将Active Directory连接字符串显示是否存在任何风险?这应该加密吗?