c# - FormsAuthentication.SetAuthCookie 在 IE9 或 Chrome 中不工作

Question

很抱歉，如果这已经被覆盖，但我要拔掉我的头发。我的网站正在使用表单例份验证，当我在//localhost 上测试时它运行良好，但是当我发布到网络时它在 IE9 中不起作用。我已按照教程中列出的所有步骤进行操作，但在使用 IE9 或 Chrome FormsAuthentication.SetAuthCookie 时，永远不会创建 cookie。更重要的是，当我使用 Firefox 时它可以正常工作。下面是我的 web.config 中的代码和我在 C# 中隐藏的代码。

基本上，我从用户那里收集用户名和密码，并使用存储过程对我的 SQL Server 进行身份验证。然后返回站点用于与用户配置文件交互的临时 Web key 。 Web key 作为身份存储在 FormsAuthentication cookie 中，我可以检索该身份以验证正在登录的用户。

此外，我知道永远不会创建身份验证 cookie，因为我在页面上有一个永远不会更改的 asp:loginstatus 控件。

网络配置:

<authentication mode="Forms">
  <forms loginUrl="Login.aspx" 
         protection="All"
         path="/" 
         slidingExpiration="true" 
         timeout="60"  
         cookieless="AutoDetect" />
 </authentication>
 <authorization>
  <deny users="?"/>
  <allow users= "*"/>
 </authorization>

后面的代码:

void LogUserIn(string UserEmail, string Pwd)
{
    conn = new SqlConnection(connstr);
    sql = new SqlCommand("exec usp_AuthLogin @Email, @Pwd", conn);
    sql.Parameters.AddWithValue("@Email", UserEmail);
    sql.Parameters.AddWithValue("@Pwd", Pwd);
    try
    {
        conn.Open();
        reader = sql.ExecuteReader();
        while (reader.Read())
        {
            Result = reader["Result"].ToString();  // value of webkey
        }
    }
    catch (Exception ex)
    {
    }
    finally
    {
        conn.Close();
    }
    // if successful log in and create cookie
    if (Result != "Denied")
    {
        FormsAuthentication.SetAuthCookie(Result, true);  // set cookie with webkey from sql server
        LoggedIn = true;
    }
    else
    {
        LoggedIn = false;
    }
}

请帮忙

Answer 1

我很确定您需要将用户名用作 SetAuthCookie 中的第一个参数 - 这是 FormsAuthentication 模块知道用户是谁的方式。

SetAuthCookie 在后台创建一个授权票证。您是否尝试过制作自己的授权票？它可以让您在上面存储额外的数据。

这里有解释:http://msdn.microsoft.com/en-us/library/system.web.security.formsauthenticationticket.aspx#Y1368

基本上你这样做:

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
    username,
    DateTime.Now,
    DateTime.Now.AddMinutes(30),
    isPersistent, //true or false
    webkey, //Custom data like your webkey can go here
    FormsAuthentication.FormsCookiePath);

// Encrypt the ticket.
string encTicket = FormsAuthentication.Encrypt(ticket);

// Create the cookie.
Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, encTicket));

这解释了你如何读回数据 http://msdn.microsoft.com/en-us/library/system.web.security.formsauthenticationticket.userdata.aspx

FormsIdentity id = (FormsIdentity)User.Identity;
FormsAuthenticationTicket ticket = id.Ticket;

string webkey = ticket.UserData;

编辑:此外，auth cookie 默认为 httponly。您可以使用 firefox 插件(如实时 header )来验证它是否已创建。