C# ASP.NET Forms身份认证

原文:https://www.cnblogs.com/kyo-lynn/p/3418577.html

原文:https://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html

注意1:

  1、需要在web.config中添加节点,

  2、需要引用命名空间:System.Web.Security

 注意2:

 注意 票据时间 和 cookie时间
 比如:
  cookie时间为5秒,票据时间为5秒,用户在5秒内刷新,登录时间会一直延续下去,如果超过5秒,登录状态消失
  cookie时间为5秒,票据时间为5000秒,只要登录时间超过5秒,不管用户是否刷新页面,登录状态消失

1、需要在Web.config中添加节点,添加在system.web下。

<authentication mode="Forms"></authentication>
        //获取认证信息
        public ActionResult Index()
        {
            if (Request.IsAuthenticated)
            {
                //获取认证信息
                //Request.Cookies[FormsAuthentication.FormsCookieName] != null
                //Request.IsAuthenticated
                string user = User.Identity.Name;//Request.RequestContext.HttpContext.User.Identity.Name
                var cookie = Request.Cookies[FormsAuthentication.FormsCookieName];
                var ticket = FormsAuthentication.Decrypt(cookie.Value);
                string data = ticket.UserData;
                return Content($"用户已登录 <br> user:{user} <br> data:{data}");
            }
            return Content("用户未登录");
        }
        //登录1
        public ActionResult Login1()
        {
            FormsAuthentication.SetAuthCookie("name2", true);
            return Content("登录成功,name: name2");
        }

        //登录2
        public ActionResult Login2()
        {
            /*
                判断是否登录的唯一标志,就是 看看 有没有名称为FormsAuthentication.FormsCookieName的cookie,有就是登录了。

                按照asp.net forms验证的设计思想,如果要将自定义数据放到Cookie里面,
                首先应该定制一个FormsAuthenticationTicket,将自定义数据放到其UserData里,
                然后用FormsAuthentication.Encrypt加密这个Ticket,
                最后用new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket)生成一个Cookie,加入到Response.Cookies中, 作为登录标注。
                并不是直接修改 HttpCookie的Value或者Values。                 
            */

            //创建认证信息 Ticket
            FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, "name1", DateTime.Now, DateTime.Now.AddSeconds(5), false, "value1");

            //票据加密
            string encryptedTicket = FormsAuthentication.Encrypt(ticket);

            //写入到cookie
            var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
            System.Web.HttpContext.Current.Response.SetCookie(cookie);

            return Content($"cookie <br> name:{cookie.Name} <br> value:{cookie.Value}");
        }
        //退出
        public ActionResult Logout()
        {
            FormsAuthentication.SignOut();
            return Content("退出成功");
        }

测试1:用户在5秒内刷新页面,登录状态会一直持续下去

 测试2:不管用户怎么刷新,超过5秒后,就会退出登录状态

测试3:用户在5秒内刷新页面,登录状态会一直持续下去。超过3秒刷新,用户登录状态消失

测试1 和 测试3 的区别:

  测试1:票据时间 和 cookie时间 都为5秒

  测试3:票据时间为3秒,cookie时间为5秒

  结论:测试3,就算用户在4秒的时候刷新页面,但那个时间用户从游览器提交的票据,在后台判断是已经失效的,因为票据的过期时间为3秒。

测试1 和 测试2 的区别:

  测试1:票据时间 和 cookie时间 都为5秒

  测试2:票据时间为5000秒,cookie时间为5秒

  结论:测试2,用户在5秒内刷新页面,游览器有带cookie往服务端请求。

     如果时间超过5秒,游览器请求的时候,就不带cookie。

     这个时候,虽然票据没有过期,但是与票据关联的cookie(应该是票据本身)根本就没有被提交到服务端,

     所以还是为未登陆状态。

过期时间分为两块:

  1、cookie的过期时间

    cookie的过期时间 决定了 游览器是否会把票据(票据本身就是存在cookie里面的)提交到后台

  2、票据的过期时间

    后台判断过期时间的依据,这个才是实实在在的过期时间。

    如果票据过期了,就算伪造cookie上传票据,也没法通过后台的验证。

记录一下一些自己的理解

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/guxingy/p/10643785.html