Qu'est-ce que je fais de mal avec mon formulaire FormsAuthenticationTicket?

Question

J'essaie de recréer mon cookie ce qui serait normalement généré par FormsAuthentication.SetAuthCookie() et ce qui est dans le webconfig.

<authentication mode="Forms"> 
      <forms loginUrl="~/Account/LogOn" protection="All" timeout="20160" name=".ASPXAUTH" path="/" requireSSL="false" slidingExpiration="false" defaultUrl="default.aspx" cookieless="UseDeviceProfile" enableCrossAppRedirects="false"/> 
     </authentication> 

Cependant je veux envoyer une pièce de plus de données le long de façon à ce que je comprends que je dois faire mon propre FormsAuthenticationTicket d'ajouter ces données (ou fusionner tout avec le nom en SetAuthCookie et faire le fractionnement).

Donc j'essaye de le rendre aussi sûr (ou plus sûr) que celui qu'il fait du webconfig, avoir les mêmes valeurs que celui généré par le webconfig.

Voilà donc ce que j'ai jusqu'à présent

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, "chobo2", DateTime.Now, DateTime.Now.AddYears(10), true, "test"); 
      string encTicket = FormsAuthentication.Encrypt(ticket); 
      Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, encTicket)); 

Cependant, je ne suis toujours pas sûr de ce qu'il utilise. Utilise-t-il des choses du webconfig? Comme il ne demande pas de cookieName ni de timeout.

Lorsque je regarde ce cookie par l'intermédiaire du développeur Web, il dit qu'il n'est pas sécurisé, et qu'il expire à la fin de la session.

Quand je regarde celui qui a été généré depuis le webconfig, il a une date d'expiration du 12 octobre et ne dit toujours pas sécurisé (devinez qu'il se réfère à SSL).

Aussi je suis toujours confus au sujet de l'userData. Comment ajouter que j'attrape cette valeur plus tard? Comment puis-je ajouter plus d'une fois des données? Dois-je toujours décrypter (ie appeler la méthode decrypt) pour déchiffrer le cookie ou le fait-il automatiquement?

Quel type de cryptage le cookie utilise-t-il par défaut de toute façon?

Merci

Answer 1

Vous devez définir manuellement tous ces propriétés sur le ticket d'authentification de formulaires. Vous pouvez accéder à la plupart des valeurs via des accesseurs statiques sur la classe FormsAuthentication. Les paramètres de configuration dans web.config sont uniquement utilisés lorsque vous utilisez FormsAuthentication.GetAuthCookie ou FormsAuthentication.SetAuthCookie.

Les données utilisateur peuvent être récupérées en extrayant et en décryptant le ticket d'authentification de formulaires puis en utilisant l'accesseur de propriété UserData sur le ticket déchiffré.

Vous aurez toujours besoin de déchiffrer le ticket pour accéder aux données utilisateur.

http://msdn.microsoft.com/en-us/library/ms998310.aspx contient des détails sur les chiffrements de chiffrement et de validation utilisés, mais par défaut, le ticket est chiffré à l'aide d'AES et validé à l'aide de SHA1 (HMACSHA1).

http://support.microsoft.com/kb/910443 contient des informations supplémentaires et des liens qui peuvent répondre à vos questions.