Проверка подлинности с помощью форм в ASP.NET 2.0

Question

Я использую проверку подлинности с помощью форм в одном из моих веб-приложений. Ниже приведен код, который я использую в

а. Web.config

forms loginurl="***" defaulturl="***"

б. Login.aspx

OnAuthenticate(object sender, AuthenticateEventArgs e)
{
  e. Authenticated = validateuser(Login1.UserName, Login1.Password)
  if (e.Authenticated =true)
  {
   // fetch roles
  }
}

с. Global.asax

Application_OnPostAuthenticateRequest()
{
  if (user.Authenticated && Authenticationtype="form")
  {
   // Fetch roles and user data and save in httpcontext
  }
}

Я не знаю, прав я или нет. У меня есть сомнения на странице Login.aspx и странице Global.asax

Я не использую SSL, потому что это платный цифровой сертификат. Итак, как я могу сделать безопасную передачу данных и использовать ли файлы cookie для аутентификации в виде файла или в качестве URL? Как я могу найти файл cookie на клиенте и на сервере?

Есть ли какая-нибудь ссылка, с которой я получаю лучший способ использовать аутентификацию формы?

Answer 1

Я не понимаю, что именно вы хотите сделать в своем коде ... но вот полное объяснение того же.

Вот некоторые из лучших ссылок .. Это может быть полезно для вас ..

http://msdn.microsoft.com/en-us/library/aa480476.aspx

http://www.codeproject.com/KB/aspnet/custom_authentication.aspx

Answer 2

Вы знаете, что есть поставщик ролей ? Есть ли какая-то причина, по которой вы не можете использовать это вместо того, чтобы кататься самостоятельно? Встроенный обеспечивает поддержку аутентификации на основе ролей для файлов, классов и методов.

Вы не можете сделать безопасную отправку форм без SSL, просто нет другого способа сделать это. Встроенные биты используют подписанный файл cookie, и вы можете включить шифрование в файле cookie , если хотите. Если вы используете встроенные биты, которые вам не нужны для поиска файлов cookie, это обеспечивается ASP.NET и защищено от доступа к сценариям на стороне клиента, чтобы ограничить возможность межсайтового скриптинга атаки.