使用 Forms 身份验证可以在应用程序级别管理客户端注册和身份验证,而无需依靠操作系统提供的身份验证机制。

重要

由于 Forms 身份验证以纯文本形式向服务器发送用户名和密码,因此您应当对应用程序的登录页和其他所有页(主页除外)使用安全套接字层 (SSL) 加密。

UI 元素列表

元素名称描述

登录 URL

指定当没有找到有效的身份验证 Cookie 时请求将重定向到的 URL(以便登录)。默认值为 login.aspx。

身份验证 Cookie 超时(分钟)

指定 Cookie 将在多长时间后过期(以分钟为单位的整数)。默认值为 30。如果 SlidingExpiration 属性为 true,则 time-out 属性为一个相对的值,在收到上一个请求之后的指定分钟数时过期。为了防止降低性能,也为了避免向启用 Cookie 警告功能的用户显示多个浏览器警告,当经过指定时间的一半以上时,更新 Cookie。

模式

指定存储 Forms 身份验证票证的位置。选项包括:

  • 不使用 Cookie - 不使用 Cookie。

  • 使用 Cookie - 总是使用 Cookie,而不考虑设备。

  • 自动检测 - 如果设备配置文件支持 Cookie,则使用 Cookie。否则,不使用 Cookie。对于已知支持 Cookie 的桌面浏览器,ASP.NET 通过检查来确定是否启用了 Cookie。

  • 使用设备配置文件 - 如果设备配置文件支持 Cookie,则使用 Cookie。否则,不使用 Cookie。ASP.NET 不会通过检查来确定在支持 Cookie 的设备上是否启用了 Cookie。这是默认设置。

名称

设置 Forms 身份验证 Cookie 的名称。默认为 .ASPXAUTH。

保护模式

指定用于 Cookie 的加密类型(如果有加密)。选项包括:

  • 加密和验证 - 指定同时使用数据验证和加密来帮助保护 Cookie。该选项使用配置的数据验证算法(基于 <machineKey> 元素)。如果 3DES 可用并且密钥足够长(48 字节或更长),则使用 3DES 来进行加密。“加密和验证”是默认值,也是推荐值。

  • - 对满足以下条件的网站指定禁用加密和验证:使用 Cookie 仅仅是为了个性化的网站,以及具有较低安全要求的网站。Microsoft 不建议您使用此设置,但这是在使用 .NET Framework 启用个性化时最节省资源的一种方式。

  • 加密 - 指定使用 3DES 或 DES 对 Cookie 进行加密,但不对该 Cookie 执行数据验证。以这种方式使用的 Cookie 可能易于受到纯文本攻击的影响。

  • 验证 - 指定验证方案验证加密 Cookie 的内容在传输过程是否未更改。通过使用 Cookie 验证来创建 Cookie,方法是:将验证密钥与 Cookie 数据连接,计算消息身份验证代码 (MAC) 并将 MAC 追加到传出 Cookie 的后面。

需要 SSL

指定是否需要 SSL 连接来传送身份验证 Cookie。默认设置下,此选项是禁用的。

扩展每次请求后 Cookie 过期

指定是否启用相对过期机制。相对过期机制重置活动身份验证 Cookie 的时间,以便在单个会话期间的每一次请求之后都过期。默认设置下,此选项是启用的。

请参阅