Аутентификация форм и доступ к URL без доменного имени - PullRequest
Новая
       42

Аутентификация форм и доступ к URL без доменного имени

0 голосов
/ 28 апреля 2020

У меня есть веб-сайт, который использует проверку подлинности с помощью форм, но я пытаюсь понять, что происходит, когда используемый URL-адрес не включает / не включает имя домена.

Если я go до https://<machinename>.<domain_name>:57850 I меня перенаправили на экран входа и входа. Я могу использовать любые страницы на моем веб-сайте из той же вкладки или из новых вкладок в своем браузере, но если я открыл новую вкладку и попробовал https://<machinename>:57850, я не аутентифицирован и получаю на мой экран входа в систему.

Это нормальное поведение? Есть ли что-то, что я могу сделать с проверкой подлинности с помощью форм, которая позволила бы мне поменять местами использование / не использование доменного имени в URL (возможно, настройку web.config)?

Я изо всех сил пытаюсь даже определить, что правильные термины для этой проблемы, поэтому я думаю, что не нахожу ничего полезного, описывающего это.

Надеюсь, что кто-то может дать мне некоторое руководство.

Спасибо

1 Ответ

0 голосов
/ 28 апреля 2020

Обычно Аутентификация формы использует куки. Файлы cookie привязаны к домену. Они могут быть привязаны к домену root, поэтому, например, повар ie, привязанный к example.com, может работать на a.example.com и b.example.com, но никогда не может go в разных доменах. , Что касается вашего браузера, <machinename>.<domain_name> отличается от <machinename>, поэтому он не выдаст файлы cookie с предыдущего домена. В противном случае, будет очень легко украсть вход в систему, просто запросив куки с других сайтов.

Существует опция Cookieless , при которой вход в один домен будет держать вас в другом домене, но ваше приложение станет намного менее защищенным, особенно от повторной атаки, и URL станет очень уродливым (поскольку он заменил куки).

С другой стороны, ваше приложение на самом деле не заботится о том, какой домен вы используете для доступа к нему. Доступ через <machinename>.<domain_name>, <machinename> или даже <entirelydifferentdomain> будет работать даже с файлами cookie. Просто у вас будет один повар ie для каждого домена, но как только вы войдете в систему, вы входите.

...