c# - 设置STS但在webapp中保留formauthentication

Question

我正在现有的网络应用程序上启用 Windows Identity Foundation。

我想尽可能少地扰乱现有代码，所以我想登录页面使用应用程序中留下的 formsauthentication，如果用户通过特定页面进入应用程序，我只连接 STS，例如“im_comming_from_some_other_site .aspx”。

在“im_comming_from_some_other_site.aspx”中，代码​​如下:

Page_Load(...)
{
   if(verifyAgainstSTS()
   {
        FormsAuthentication.SetAuthCookie(<some_STS_Userid), ...)
        Response.Redirect("default.aspx")
   }
   else
   {
        Response.Redirect("http://<STS_server_name/<STS_service...etc>")
   }
}

是否有人知道这是否可以完成以及如何完成？非常感谢任何指向示例代码的链接(如果可用)。

(当然需要一些代码来确定当认证超时时要做什么；要么转到本地登录页面，要么转到STS-登录页面)

我知道这似乎是一个糟糕的设计，不能完全使用 STS，但我需要尽快实现它，并且我希望尽可能保持原始站点不变。

Answer 1

这不是一个糟糕的设计，这是您的要求，您会努力实现它。我们有这样构建的工作系统，这不是火箭科学。唯一的区别是我们将它静态地(通过全局设置)而不是动态地切换到 forms/sam。

无论如何，您在 web.config 中保留表单例份验证，这样当当前用户没有授权时，表单会将请求重定向到登录页面。

在登录页面中，您有两个选项。以某种方式创建表单 cookie。另一个选项涉及 WIF 的 FederatedPassiveSignIn 控件。

如果用户遵循表单例份验证，则设置 cookie，您就完成了。如果用户遵循 STS 登录控制，他/她迟早会返回有效的 SAML token 。 FederatedPassiveSignIn 将自动获取它，您只需在 SignedIn 事件中处理重定向。

您甚至不需要您在问题中提到的 if。

我记得有一个警告。当用户通过 STS 身份验证时，将创建 WS-Federation cookie，您可以读取声明等。一切正常。

但是，如果用户通过表单进行身份验证，则 SAM (SessionAuthenticationModule) 将根据每个请求在 ASP.NET 管道中用 WS-Federation cookie 替换表单 cookie(我猜这是因为 SAM 稍后位于表单的管道中认证模块)。

这不会破坏您的 context.User.Identity.IsInRole(...) 授权也能正常工作，因为 SAM 会将用户角色复制到相应的声明中。

但是，如果您在代码中的任何地方尝试直接从表单 cookie 中提取信息(而不是使用通用 API)，您可能会发现表单 cookie 不存在，即使用户通过表单进行了身份验证第一名(cookie 不存在，因为它将被 WS-Federation cookie 取代)。