在ASP.NET应用程序中,FormsAuthentication几乎是标配,但FormsAuthentication在设计时却没有考虑登录程序与当前程序不在同一个站点的场景。这个场景最基本的需求就是去另一个站点登录成功后返回要原地。可是FormsAuthentication在传递ReturnUrl时只支持相对路径,不支持绝对地址,也没有提供相应的扩展。
比如我们在admin.cnblogs.com站点的web.config中进行了如下的FormsAuthentication设置:
访问admin.cnblogs.cc/Home/Index,会被重定向至passport.cnblogs.com/login.aspx?ReturnUrl=%2fHome%2fIndex,这样登录后就回不来了。
那如何解决这个问题呢?
目前找到了三种方法:
方法一:在当前应用程序添加一个登录跳板页,web.config中的loginUrl指向该跳板,在跳板中获取ReturnUrl的绝对地址,再重定向至实际登录页面。
比如在ASP.NET MVC中,我们可以用一个Controller的Action作为跳板,代码如下:
然后将web.config中的loginUrl指向该Action。
该方法的缺点是要进行两次重定向。
方法二:在Global.asax的Application_PostAuthenticateRequest事件中将ReturnUrl设置为绝对地址,并重定向至登录页面。
代码如下(代码来自http://forums.asp.net/t/1358796.aspx):
方法三:在Global.asax的Application_EndRequest事件中修改Response.RedirectLocation,将ReturnUrl的替换为绝对地址。
代码如下(代码来自David Findley's Blog):
该方法的缺点是要针对所有重定向的URL进行处理,不仅仅是登录。
我们选用的是第二种方法。你是如何解决这个问题的?有没有更好的方法?
这个问题完全归咎于FormsAuthentication的设计问题,当时遇到这个问题,都不敢相信微软没考虑到这个,然后看了一下FormsAuthentication的代码,真是无语。。。
从中得到的启示:糟糕的设计会被很多人骂很多年,而优秀的设计会流芳百世。
分享到:
相关推荐
基于ASP.NET Forms 安全性控制实现基于web的ClickOnce工作处理技术。
asp.net mvc core 集成微信登录功能
aspnet-formsauthentication-js ASP.NET FormsAuthentication Encrypt()和Decrypt()方法的最小JavaScript实现。
基于ASP.NET+AJAX+FormsAuthentication实现的authenticated users 检索。
Building Secure ASP.NET Applications Authentication, Authorization, and Secure Communication The WhiteBook from microsoft
ASP.NET Forms验证 实现子域名(SubDomain)共享登陆 http://www.cnblogs.com/Medi-Bruce/archive/2010/01/17/1650027.html 一、什么是单点登录 单点登录就是在多个web应用程序中,实现统一登录方式,一但登录了某...
The ASP.NET platform provides ASP.NET MVC applications with a rich suite of services including vital every-day features like extensible request handling, state management, and user authentication....
FormsAuthentication 权限验证
Asp.net地址转义(分析)加强版 Web的桌面提醒(Popup) Using the Popup Object Click button only once in asp.net 2.0 Coalesys PanelBar + R.a.d Treeview +Xml 构建的Asp.net 菜单和权限管理模块 突破屏蔽限制...
www.it560.com 做了一个案例,关于forms认证的! 其中用到FormsAuthentication...等, 实现了自动登录跳转之前页面和认证!
CHAPTER 1 Introducing ASP.NET 3 CHAPTER 2 Visual Studio 23 CHAPTER 3 Web Forms 71 CHAPTER 4 Server Controls 115 CHAPTER 5 ASP.NET Applications 167 CHAPTER 6 State Management219 PART 2 Data ...
当我将用户信息存在在Session中时,常常会遇到Session丢失导致用户无法正常访问被授权的资源,保持用户登录状态时的安全性问题,无休其实,在asp.net中,我们有更好的解决方案,那就是通过Forms身份验证,从而对用户...
追本溯源,从使用开始 首先看一下我们通常是... services.AddAuthentication(authOpt => { authOpt.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; authOpt.DefaultChallengeScheme =
+和Asp.Net的Forms Authentication兼容(feedback:mgzhenhong)。(fixed) -采用和Asp.Net Ajax类似的处理方式,需要在配置文件Web.config增加一个httpModules。 -现在支持Response.Redirect,你可以选择Response....
ajax技术,无刷新技术 导读:ScriptManager控件包括在ASP.NET 2.0 AJAX Extensions中,它用来处理页面上的所有组件以及页面局部更新,生成相关的客户端代理脚本以便能够在JavaScript中访问Web Service,所有需要支持...
FormsAuthentication.RedirectFromLoginPage方法,会自动完成很多功能的。如完成生成身份验证票,写回客户端,浏览器重定向等一系列的动作。当然完成这些功能并不是只有FormsAuthentication.RedirectFromLoginPage方法...
People wanting to learn ASP.NET MVC and Entity Framework ranging from novice developers new to the subject through to more experienced ASP.NET web forms developers looking to migrate from web forms to...
ASP.NET AJAX深入浅出系列课程(15):使用ASP.NET AJAX提供的Authentication Service
《asp.net mvc 3高级编程》 第1章 入门 1 1.1 asp.net mvc简介 1 1.1.1 asp.net mvc如何适应asp.net 1 1.1.2 mvc模式简介 2 1.1.3 mvc在web框架中的应用 2 1.1.4 asp.net mvc 3的发展历程 3 1.1.5 razor视图...
Asp.net教学讲义 1 讲义内容 6 第一章:asp.net和web窗体 6 1.1 NET应用开发架构简介 6 1.1.1. NET框架结构 6 1.1.2 http协议简介 6 1.1.3 静态网页与动态网页 8 1.1.4 客户端代码与服务器端代码 8 1.1.5 ASP.NET...