S'il vous plaît donnez-moi votre opinion sur mon système d'authentification

Question

J'ai une application ASP.NET 2010 et pour être honnête, j'ai lutté avec l'adhésion API tout le chemin. La vue d'ensemble est assez typique. Je crée l'utilisateur, puis tenter de définir un cookie persistant en utilisant ...

FormsAuthentication.SetAuthCookie(UserName, True) 

Après cela, chaque fois qu'un utilisateur non authentifié frappe une page restrictred, ils doivent être renvoyés à l'écran de connexion. Pendant ce temps, si un utilisateur avec un cookie percutant frappe une page restreinte, je veux saisir le cookie, et les connecter automatiquement, tant que le cookei n'est pas expiré. Voici mon web.config ...

<authentication mode="Forms"> 
<forms 
     name=".ASPXAUTH" 
     path="/" 
     loginUrl="~/Account/Login.aspx" 
     protection="All" 
     timeout="129600" 
     slidingExpiration="true" 
     defaultUrl="~/Authenticated/User/UserHome.aspx" 
     /> 
</authentication> 

Mes questions sont ...

1. Pourquoi ne puis-je trouver le cookie ASPXAUTH même si je persistais il?
2. Est-ce que mon plan pour les valider par rapport à ce cookie (le nom d'utilisateur dans le cookie) dans l'événement SessionStart est une bonne idée?
3. Pourquoi, lorsque je clique sur la déconnexion qui exécute FormsAuthentication.SignOut(), qui devrait tuer le cookie, puis-je toujours accéder à une page authentifiée si je le tape directement dans le navigateur.

Answer 1

Pendant ce temps, si un utilisateur avec un cookie peristent frappe une page restreinte, je veux de saisir le cookie, et les connecter automatiquement, tant que le cookei n'a pas expiré

Le cadre devrait automatiquement détecter le cookie pour vous. Je soupçonne que vos tentatives pour le faire manuellement causent une partie ou la totalité de vos problèmes.

Pourriez-vous poster tout le code où vous interagissez avec le cookie et l'authentification par formulaires?