当身份验证发生在子域而不是父域时,是否可以跨子域验证用户?
例如:
用户登录site1.parent.com,然后我们需要将它们发送到reporting.parent.com。
即使在子域中发生登录,我是否可以对报告网站进行身份验证?
到目前为止,我所做的所有研究都让用户首先登录到父域,然后每个子域都可以访问身份验证cookie。
答案 0 :(得分:29)
对用户进行身份验证时,请将身份验证Cookie的域设置为二级域,即parent.com。每个子域都将根据请求接收父域的cookie,因此可以对每个子域进行身份验证,因为您将拥有可以使用的共享身份验证cookie。
验证码:
System.Web.HttpCookie authcookie = System.Web.Security.FormsAuthentication.GetAuthCookie(UserName, False);
authcookie.Domain = "parent.com";
HttpResponse.AppendCookie(authcookie);
HttpResponse.Redirect(System.Web.Security.FormsAuthentication.GetRedirectUrl(UserName,
False));
答案 1 :(得分:10)
您可以在身份验证时将Cookie设置为父域,但您必须明确设置它,它将默认为您所在的完整域。
将auth cookie正确设置为父域后,所有子域都应该能够读取它。
答案 2 :(得分:7)
作为旁注,我发现使用jro的方法运行良好+1后,FormsAuthenication.SignOut()方法在从www /以外的子域调用时不起作用。 (我猜是因为.Domain属性不匹配) - 为了解决这个问题,我使用了:
if (Request.Cookies[FormsAuthentication.FormsCookieName] != null)
{
HttpCookie myCookie = new HttpCookie(FormsAuthentication.FormsCookieName);
myCookie.Domain = "parent.com";
myCookie.Expires = DateTime.Now.AddDays(-1d);
Response.Cookies.Add(myCookie);
}
答案 3 :(得分:7)
除了将cookie设置为父域之外,还需要确保所有站点(apps)具有相同的validationKey和decryptionKey(),以便它们都能识别彼此的身份验证票证和cookie。这里的文章非常好http://www.codeproject.com/KB/aspnet/SingleSignon.aspx
答案 4 :(得分:4)
是的,当然。你可能需要在某些阶段自己动手,但它应该是可行的。
一个想法:当你将它们重定向到边界时,给它们一次性通过令牌然后告诉接收子域期望它们(这个用户,来自这个IP,带有这个令牌)。
答案 5 :(得分:4)
Jro的回答很好。但请确保更新webconfig表单身份验证setting "domain"
,否则表单身份验证注销将无法正常工作。 Here是我遇到的退出问题。这里的伎俩是'。'作为域的前缀为cookie设置为“.parent.com”(使用cookie检查器)。
<authentication mode="Forms">
<forms cookieless="UseCookies" defaultUrl="~/Default" loginUrl="~/user/signin" domain=".parent.com" name="FormAuthentication" path="/"/>
</authentication>
答案 6 :(得分:3)
要做的两件事:
关注following文章,了解更多信息。