traiter l'authentification en asp.net utilisant l'adhésion

Question

Ok, voici le problème:

J'ai deux sites: www.mysite.com et blog.mysite.com (noms de site faux) qui supposent de partager l'authentification. La page de connexion est www.mysite.com/login/login.aspx

Maintenant, le site de blog a web.config avec la section d'authentification suivante:

<authentication mode="Forms"> 
    <forms timeout="50000000" 
    loginUrl="http://www.mysite.com/login/login.aspx" 
    defaultUrl="~/"/> 
</authentication> 
<authorization> 
    <deny users="?"/> 
</authorization> 

Maintenant, je frappe blog.mysite.com/andrey/page.aspx et il me réoriente à la page de connexion qui se trouve sur le site www. Le vrai problème est que la chaîne de requête "reditect" ne contiendra que l'URL de la page relative (andrey/page.aspx), donc quand je me connecterai, elle essaiera de me rediriger vers www.mysite.com/andrey/page.aspx, pas blog.mysite.com/andrey/page.aspx où j'ai démarré alors bien sûr tout échoue.

Existe-t-il un moyen de dire à l'objet Membership d'insérer le chemin complet dans le paramètre de chaîne de requête "redirect" lorsqu'il rebondit sur la page de connexion?

Merci! Andrey

Answer 1

En supposant que chaque domaine a son propre web.config, je pense que cela pourrait fonctionner.

1) Créer une page de connexion pour les www.mysite.com et blog.mysite.com
2) Le point à la fois à la même base de données des membres
3) Assurez-vous que les deux ont la même composition applicationName ensemble d'attributs:

<membership><providers><add applicationName="mySite"> 

4) Assurez-vous que les deux ont les mêmes formes d'attribution du nom:

<authentication mode="Forms"><forms name="mySite"> 

Cela devrait veiller à ce que les deux sites utilisent la même base de données des membres et même Authen cookie de tication, mais ils vont utiliser leurs pages de connexion individuelles et donc l'url de retour devrait être bien.

---

Pouvez-vous appeler le FormsAuthentication.SetAuthCookie Method et rediriger manuellement sur http referrer?

---

Je viens de voir cela dans la documentation FormsAuthentication.RedirectFromLoginPage

Par défaut, la variable ReturnUrl doit se référer à une page dans l'application en cours . Si ReturnUrl fait référence à une page dans une autre application ou sur un autre serveur, la méthode RedirectFromLoginPage redirige vers l'URL de la propriété DefaultUrl. Si vous voulez permettre redirige vers une page en dehors de l'application en cours , vous devez définir la propriété EnableCrossAppRedirects à vrai en utilisant les enableCrossAppRedirects attribut des formes élément configuration .Sécurité noteSecurity Note:

Réglage des EnableCrossAppRedirects propriété sur true pour permettre l'application croisée est une menace réoriente de sécurité potentielle . Lorsque réoriente inter-applications sont autorisés, votre site est vulnérable aux sites Web malveillants qui utilisent votre page de connexion pour convaincre votre site Web utilisateurs qu'ils utilisent une page sécurisé sur votre site. Pour améliorer la sécurité lors de l'utilisation des redirections inter-applications , vous devez remplacer la méthode RedirectFromLoginPage pour autoriser les redirections uniquement vers les sites Web approuvés.

Est-ce que jouer avec cette propriété aide du tout?