Безопасность
Закрепление за браузером постоянной аутентификации форм
До сих пор мы использовали временные cookie-наборы аутентификации для конкретного пользователя, которые действуют только на период сеанса и сразу удаляются браузером после его завершения. Это обеспечивает разумную безопасность. Но иногда может потребоваться закрепить аутентификацию не за пользователем, а за браузером. В этом случае при первой регистрации пользователя можно разрешить ему создать на браузере постоянный cookie-набор, по которому бы узнавался сам браузер.
Постоянные cookie-набор можно создать
- в странице регистрации при первой посещении пользователя установкой второго параметра в значение true (вместо false ) в методе
FormsAuthentication.RedirectFromLoginPage(строка, true);
- в любом другом месте открытого сеанса выполнением метода
FormsAuthentication.SetAuthCookie(строка, true);
- в любом другом месте открытого сеанса выполнением кода
HttpCookie authCookie = FormsAuthentication.GetAuthCookie(строка, true); this.Response.Cookies.Add(authCookie);
Установленный таким способом cookie-набор будет существовать на компьютере пользователя "вечно", если только мы не удалим его методом
FormsAuthentication.SignOut();
Можно также изменить временной статус постоянного cookie-набора на любой странице. Покажем это
-
Добавьте к проекту страницу ModifyPersistentCookieAuth.aspx без файла отделенного кода и заполните ее так<%@ Page Language="C#" EnableViewState="false" %> <script runat="server"> Label message; protected void Page_Load(object sender, EventArgs e) { // Дескриптор центрирования HtmlGenericControl center = new HtmlGenericControl("center"); form1.Controls.Add(center); // Текстовая метка с заголовком Label label = new Label(); center.Controls.Add(label); label.Text = "<h2>Закрепить аутентификацию за браузером</h2>"; // Кнопки Button createPersistentCookie = new Button(); center.Controls.Add(createPersistentCookie); createPersistentCookie.Text = "Создать бессрочный AuthCookie"; createPersistentCookie.Click += new EventHandler(createPersistentCookie_Click); center.Controls.Add(new HtmlGenericControl("br")); Button createTemporaryCookie = new Button(); center.Controls.Add(createTemporaryCookie); createTemporaryCookie.Text = "Создать срочный AuthCookie"; createTemporaryCookie.Click += new EventHandler(createTemporaryCookie_Click); center.Controls.Add(new HtmlGenericControl("br")); Button deleteCookie = new Button(); center.Controls.Add(deleteCookie); deleteCookie.Text = "Удалить AuthCookie"; deleteCookie.Click += new EventHandler(deleteCookie_Click); center.Controls.Add(new HtmlGenericControl("br")); // Текстовая метка с сообщением message = new Label(); center.Controls.Add(message); message.Text = String.Empty; } void createPersistentCookie_Click(object sender, EventArgs e) { // Создать бессрочный cookie HttpCookie authCookie = FormsAuthentication.GetAuthCookie("xx", true); // Отослать на браузер this.Response.Cookies.Add(authCookie); // Сообщить пользователю message.Text = "Бессрочный AuthCookie создан!"; } void createTemporaryCookie_Click(object sender, EventArgs e) { // Создать бессрочный cookie HttpCookie authCookie = FormsAuthentication.GetAuthCookie("xx", true); // Настроить его как временный сроком на 10 дней authCookie.Expires = DateTime.Now.AddDays(10); // Отослать на браузер this.Response.Cookies.Add(authCookie); // Сообщить пользователю message.Text = "Срочный AuthCookie создан!"; } void deleteCookie_Click(object sender, EventArgs e) { // Удалить cookie-набор регистрации FormsAuthentication.SignOut(); // Сообщить пользователю message.Text = "AuthCookie удален!"; } </script> <html xmlns="http://www.w3.org/1999/xhtml" > <head runat="server"> <title>Untitled Page</title> </head> <body> <form id="form1" runat="server"> </form> </body> </html>
Интерфейс страницы в режиме выполнения будет таким
При закреплении cookie-набора за браузером при соединении с сайтом страница регистрации пользователю предъявляться не будет, пока не закончится срок действия (если cookie-набор срочный).
