ASP.NET 安全认证（四）

第四部分 Form 认证的补充

前三篇在 CSDN 论坛公布后，效果如同“神仙放屁——果然不同凡（反）响”。为感谢广大网友的热情与支持，这不，经过这一阵子的酝酿、修炼，特意准备了这第四响。

之前我们讲述的使用 Form 认证实现单点登录，正如网友所说的那样，只能在同一域名下使用。对于跨域名的单点登录，除了使用 Passport 认证外，我们还是可以用 Form 认证的，只是要讲究方法而已啦。正所谓“山不转水转，人不转心转”。 
 一、        跨域名的解决思路

在MSDN 2003 上搜索关键字“Passport”，偶找到一篇“Passport 身份验证提供程序”。文章讲述了 Passport 的认证原理，共 8 条，我就不多说了，大伙自个看吧。其中有一句话，引起偶的注意：“……响应在查询字符串中包含一个加密的 Passport Cookie……”。也正是此句才有了下面的思路。

所谓认证的通过与否，其实质就是检测有无发放有效的 Cookie ，使用 Form 也好，运用 Passport 也罢，都是 Cookie 在起作用。也就是说，我们只要把有效的 Cookie 在登录后一次性发放给客户端就得了。

二、        跨域名、跨服务器的单点登录方法

1、 如何在本机模拟跨域名、跨服务器的Single Sign On

只要浏览网址不同就相当于不同域名，在本机至少有以下三种。它们虽然是同一项目，彼此却不能共用 Session与 Cookie ，也就无法共享身份验证票：

a). http://localhost/FormTest/Login.aspx

b). http://127.0.0.1/FormTest/Login.aspx

c). http://My_Computer_Name/FormTest/Login.aspx //以电脑名称浏览站点

d). http://192.168.0.8/FormTest/Login.aspx //以网卡地址浏览站点

e). http://172.meibu.com/FormTest/Login.aspx //拥有国际域名

2、 在 ASP.NET 中如何提交给其它页面

用过ViewState 的大概都知道，ViewState是保存在客户端的。不知大伙注意没有，ASP.NET 为每张 .aspx 页面都配备了独自的 ViewState，且被解析后都是以一个 name="__VIEWSTATE"的隐藏控件值来保存ViewState。每次页面提交，服务器都会检查该控件的值有无被篡改，如此一来就注定 .aspx 只能提交给本页。服务器是死的，人是活的，我们不能被这些条条框框限定死了，我们要把程序写成活的。

下面咱们从 http://localhost/FormTest/Login.aspx 输入用户名与密码，然后提交给http://127.0.0.1/FormTest/Public/LoginTransfer.aspx 。Login.aspx与LoginTransfer.aspx都包含用户名输入框一个、密码输入框一个、登录按钮一个。在 Login.aspx 页面加入以下代码：

this.Btn_Login.Attributes["onclick"]="SingleSignOn()"; //指定执行脚本事件

在 Login.aspx 页面上插入以下脚本：

<script language="javascript">

function SingleSignOn()

{

//只能用脚本改变指定Form 提交的对象

document.getElementById("Form1").action="http://127.0.0.1/FormTest/Public/LoginTransfer.aspx?FromUrl="+window.location.href;

//把隐藏控件 __VIEWSTATE 中的值变更为 LoginTransfer.aspx 解析后出现的值，以实际看到的值为准

document.all.__VIEWSTATE.value = "dDwtMTkyODUzMTMyNzs7Pv1cp2RaxUcr5hGYf8ILX9/EMKy8";

}

</script>

注意事项

a).  LoginTransfer.aspx 出现的控件及其 ID ，必须能够在 Login.aspx 找到

b). 控件的 ID 必须一致，且能一一对应

c). 关于 __VIEWSTATE中的值，它与页面控件ID 无关，与浏览该页面的网址无关，目前我只知道和控件的数量、类型、名字空间（namespace FormTest.Public ）以及存在的 ViewState有关系。大家在测试时，以直接浏览http://127.0.0.1/FormTest/Public/LoginTransfer.aspx 后，查看页面源文件所看到的值为准。

d). 提交后，将触发并执行LoginTransfer.aspx 中的Btn_Login_Click 事件

3、 基本思路

各个站点的登录页面统一将用户名与密码提交给 LoginTransfer.aspx ，同时各个站点需要一个增加 Cookie 的页面，用于将加密后的身份验证 Cookie 添加至客户端。此乃经过一番考量后，最终确定的可行性方案。

4、 第一种思路——天女散花

何谓天女散花，就是把 Cookie 在登录后一次性全发放出去，就如同天仙在空中散花一样，场面是何等的壮观。下面开始写代码：

为更好的区分，我们将负责添加 Cookie 的页面分开命名：

a). http://localhost/FormTest/Public/AddCookie_A.aspx

b). http://127.0.0.1/FormTest/Public/AddCookie_B.aspx

c). http://My_Computer_Name/FormTest/Public/AddCookie_C.aspx

这三张页面的功能一样，所以代码也就相同啰

private void Page_Load(object sender, System.EventArgs e)

{

string from = Request["FromUrl"];         //起始URL 路径

string next = Request["NextUrl"];         //还需要跳转的URL

string key = Request["CookieTicket"];      //已加密的Cookie 文本

if(key != null && key !="")

{

System.Web.HttpCookie ck = new HttpCookie(System.Web.Security.FormsAuthentication.FormsCookieName,key);

ck.Path=System.Web.Security.FormsAuthentication.FormsCookiePath;

ck.Expires = System.DateTime.Now.AddYears(100);

Response.Cookies.Add(ck); //将传过来的已加密的身份验证票添加至客房端

string url = next.Split(';')[0]; //从 URL 中拆分出将要跳转的下一张页面

next = next.Replace(url+";",""); //带入下一轮跳转的字串

if(url!="")

{

//跳至下一页面Response.Redirect(url+"?CookieTicket="+key+"&FromUrl="+from+"&NextUrl="+next);

}

else     //已没有下一页面可供跳转

{

Response.Redirect(from);    //回到起始页面

}

}

}

接下来编写 LoginTransfer.aspx 的代码：

//页面常量 allLoginUrl 存放所有站点的 AddCookie.aspx 的 URL，注意以 ; 分隔

public const string allLoginUrl =   

"http://localhost/FormTest/Public/AddCookie_A.aspx;"

+"http://127.0.0.1/FormTest/Public/AddCookie_B.aspx;"

+"http://My_Computer_Name/FormTest/Public/AddCookie_C.aspx;";

偶已在上面讲述了，如何点击 Login.aspx 中的登录按钮Btn_Login将用户名与密码提交给 LoginTransfer.aspx ，并执行LoginTransfer.aspx 中的Btn_Login_Click 事件。

private void Btn_Login_Click(object sender, System.EventArgs e)

{

string from = Request["FromUrl"];    //起始 URL 路径

string next = this.allLoginUrl; 

//由于控件 ID 相同，所以此处得到的是由 Login.aspx 提交过来的用户名与密码

if(this.Txt_LoginName.Text=="Admin"&&this.Txt_Password.Text=="123456")

{

System.Web.Security.FormsAuthenticationTicket tk = new System.Web.Security.FormsAuthenticationTicket(1,"Admin", System.DateTime.Now, System.DateTime.Now.AddYears(100),false,"测试用户数据" );

string key = System.Web.Security.FormsAuthentication.Encrypt(tk); //得到加密后的身份验证票字串

string url = next.Split(';')[0]; //从URL 中拆分出将要跳转的下一张页面

next = next.Replace(url+";",""); //带入下一轮跳转的字串

Response.Redirect(url+"?CookieTicket="+key+"&FromUrl="+from+"&NextUrl="+next); //跳至下一页面

}       

}

5、 第二种思路——后羿射日

后羿射日，意思指的是用户点哪就跳哪。他若是点“火坑”，你也得往里跳，因为用户是上帝嘛。我们增加一个通行证页面 MyPassport.aspx ，由 http://127.0.0.1/FormTest/Public/LoginTransfer.aspx 发放验证 Cookie 后直接跳转至 http://127.0.0.1/FormTest/MyPassport.aspx 。不要告诉我你不会，你要是真不会，那偶也没法子啦，还得请你回头看看，偶在第三篇是如何讲述发放永久性验证 Cookie 吧（http://blog.csdn.net/cityhunter172/archive/2005/12/06/545301.aspx）。还需要一张用作跳板的跳转页面 MyTransfer.aspx 。

MyPassport.aspx 的代码：

<a target ="_blank"

href="MyTransfer.aspx?goto=http://localhost/FormTest/Public/AddCookie_D.aspx">

美丽的天使</a>

<a target ="_blank"

href="MyTransfer.aspx?goto=http://127.0.0.1/FormTest/Public/AddCookie_E.aspx">

快乐的天堂</a>

<atarget ="_blank"

href="MyTransfer.aspx?goto=http://My_Computer_Name/FormTest/Public/AddCookie_F.aspx">

大大的火坑</a>

MyTransfer.aspx 的代码：

private void Page_Load(object sender, System.EventArgs e)

{

//获取身份验证票

System.Web.Security.FormsAuthenticationTicket tk =((System.Web.Security.FormsIdentity)User.Identity).Ticket;

string key = System.Web.Security.FormsAuthentication.Encrypt(tk); //每次加密后的字串都是不同的

string next = Request["goto"]; //将要跳转的URL

Response.Redirect(url+"?CookieTicket="+key); //跳转至下一页面

}

AddCookie_D.aspx、AddCookie_E.aspx、AddCookie_F.aspx 这三张页面的代码：

string key = Request["CookieTicket"]; //已加密的 Cookie 文本

if(key != null && key !="")

{

System.Web.HttpCookie ck = new HttpCookie(System.Web.Security.FormsAuthentication.FormsCookieName,key);

ck.Path=System.Web.Security.FormsAuthentication.FormsCookiePath;

ck.Expires = System.DateTime.Now.AddYears(100);

Response.Cookies.Add(ck); //将传过来的已加密的身份验证票添加至客房端

Response.Redirect("../Index.aspx"); //跳转至你真正想带客户去的地方

}

6、 点评

两者共同点：

a). 每个站点都需要一个登录的提交点、一张添加 Cookie 的页面。

b). 因为只能靠发放验证 Cookie 来识别身份，所以一台电脑不能同时登录两个帐号。

c). 都存在不同程度的安全隐患。

两者不同点：(天女散花以下简称“开女”，后羿射日就简称“后羿”)

a). 天女一次性发放 Cookie ，如果站点较多，处理起来还是需要一些时间的。而后羿则相反，站点再多也不怕。

b). 天女在散花的过程中，如果中途被卡住，则需要一个错误处理机制做回退处理。后羿则不需要。

c). 天女在登录后可以直接在 IE 地址浏览其想看的站点；而后羿则必须从通行证的跳板页面进入才行。

根据上述问题，给几点建议：

a). 不要使用永久性 Cookie ，应指明身份验证票的过期时间，注意不是 Cookie 的有效期。

b). 在身份验证票的 UserData 中加入其它的验证信息或存放用户 ID

c). 在网络通畅的情况下，比如局域网，站点又相对较少，建议选用天女。50 个站点之间做跳转应该不会超过 10 秒（前提是已编译好了，且不是初次访问）。

三、        跨域名、跨服务器的退出方法

只要理解了“天女散花”，退出就比较容易啦。为每个站点准备一个用于退出的页面，如下：

a). http://localhost/FormTest/Public/Logout.aspx

b). http://127.0.0.1/FormTest/Public/Logout.aspx

c). http://My_Computer_Name/Public/FormTest/Logout.aspx

private void Page_Load(object sender, System.EventArgs e)

{

System.Web.Security.FormsAuthentication.SignOut();//删除 Cookie 中的身份验证票

string from = Request["FromUrl"];

string next = Request["NextUrl"];

string url = next.Split(';')[0];

next = next.Replace(url+";","");

if(url!="")

{

Response.Redirect(url+"?FromUrl="+from+"&NextUrl="+next);

}

else

{

Response.Redirect(from);

}

}

对啦，还有一张 LogoutTransfer.aspx. ，代码偶就不写，大家自个完成吧。