ASP.NET Forms認証 のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ASP.NET Forms認証 へ行く。
  • 1 (2015-04-27 (月) 13:52:21)
  • 2 (2015-04-27 (月) 14:14:00)
  • 3 (2015-05-04 (月) 13:31:14)
  • 4 (2016-01-26 (火) 12:57:15)
  • 5 (2016-02-22 (月) 11:10:23)
  • 6 (2016-03-28 (月) 22:32:58)
  • 7 (2016-09-13 (火) 16:36:36)
  • 8 (2016-09-20 (火) 13:06:52)
  • 9 (2016-11-15 (火) 09:56:10)
  • 10 (2016-11-25 (金) 13:19:03)
  • 11 (2016-12-07 (水) 15:09:06)
  • 12 (2017-01-04 (水) 15:47:29)
  • 13 (2017-01-12 (木) 17:04:33)
  • 14 (2017-02-27 (月) 18:12:28)
  • 15 (2018-04-09 (月) 10:49:49)
  • 16 (2018-04-19 (木) 22:11:41)
  • 17 (2018-04-23 (月) 10:22:14)
  • 18 (2019-07-10 (水) 14:54:25)
  • 19 (2019-07-10 (水) 16:02:06)
  • 20 (2020-07-02 (木) 18:44:06)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

Forms認証とは、Formにユーザアカウント情報を入力してWeb/APサーバで認証をする認証方式の呼称である。

ASP.NET Forms認証 †

ASP.NET Forms認証は、ASP.NETでForms認証を実装するための認証基盤機能である。

僅か、下記の実装のみで暗号化されたCookie認証チケットを使用した認証基盤機能を利用できるため、ASP.NETアプリケーションの認証基盤として利用される機会が非常に多い。

web.config上の設定 †

図 web.configの設定

<authentication mode="Forms">
  <forms name="formauth" 
    loginUrl="（ログイン画面のＵＲＬ）"
    defaultUrl="（メニュー画面のＵＲＬ）"
    protection="All"
    timeout="60"
    path="/"
    requireSSL="false"
    slidingExpiration="true"
    enableCrossAppRedirects="false"
    cookieless="UseDeviceProfile" domain="">
  </forms>
</authentication>
<authorization>
  <deny users="?"/>
</authorization>

web.config（authenticationタグのtimeout属性）に記述する。

ログイン画面と認証ロジック †

ログイン画面 †

認証ロジック（C#の場合） †

認証ロジック（コードビハインド）

protected void Button1_Click(object sender, EventArgs e)
{
    // ユーザ名、パスワードを取得。
    string userName = this.TextBox1.Text
    string passWord = this.TextBox2.Text
    
    // 任意の認証ロジック（userName、passWordからユーザを認証する）。
    
    // 認証か完了した場合、認証チケットを生成し、元のページにRedirectする。
    // 第２引数は、クライアントがCookieを永続化（ファイルとして保存）するかどうか。
    // を設定する引数であるが、セキュリティを考慮して、falseの設定を勧める。
    FormsAuthentication.RedirectFromLoginPage(userName, false);
}

クロスサイト設定 †

ASP.NET Forms認証は、ASP.NET1.xでは、単一Webサイト内でのみ利用可能であったが、ASP.NET2.0から複数のWebサイト間で「Cookie認証チケット」を共有する仕組みが用意された。これにより、Webサイト間のシングル サイン オンも可能になった。

複数のWebサイト間でForms認証の「Cookie認証チケット」を共有するには、.NETの設定にあるenableCrossAppRedirects?要素をtrueに設定する（ただし、Forms認証の「Cookie認証チケット」を共有する範囲は同一ドメインである必要がある）。

• MSDNライブラリ > .NET Frameworkの全般リファレンス > authenticationのforms要素(ASP.NET設定スキーマ)
  http://msdn.microsoft.com/ja-jp/library/1d3t3c61.aspx

• Sharing Authentication Cookie between two ASP.NET Applications - CodeProject?
  http://www.codeproject.com/Tips/438319/Sharing-Authentication-Cookie-between-two-ASP-NET

静的コンテンツへの適用 †

また、Forms認証はASP.NETの認証基盤機能であるため、動的コンテンツ（aspx）以外に利用できないと思われがちだが、下記のような設定によって静的コンテンツにも適用できるようになる 。

• @IT > .NET TIPS > ［ASP.NET］.htmlや.pdfファイルをフォーム認証やロギングの対象にするには？
  http://www.atmarkit.co.jp/fdotnet/dotnettips/114iisrelate/iisrelate.html

ただし、IIS6.0では、web.configファイルに以下の例に従った記述が必要になる。

<httpHandlers>
  <add verb="*" path="*.pdf" type="System.Web.StaticFileHandler" />
  <add verb="*" path="*.html" type="System.Web.StaticFileHandler" />
</httpHandlers>

※ 拡張子ごとに、addタグを追加する。

• MSDNライブラリ > .NET Frameworkの全般リファレンス > httpHandlers要素 (ASP.NET設定スキーマ)
  http://msdn.microsoft.com/ja-jp/library/bya7fh0a.aspx

一部コンテンツを認証対象外に設定する。 †

以下の設定で認証対象外に設定できる（フォルダやファイル単位で指定できる）。

<!-- Framework ファイルを認証対象外にする -->
<location path="Framework/Img">
  <system.web>
    <authorization>
      <allow users="*"/>
    </authorization>
  </system.web>
</location>
<location path="Framework/Js">
  <system.web>
    <authorization>
      <allow users="*"/>
    </authorization>
  </system.web>
</location>
<location path="common">
  <system.web>
    <authorization>
      <allow users="*"/>
    </authorization>
  </system.web>
</location>

• location 要素 (ASP.NET 設定スキーマ)
  https://msdn.microsoft.com/ja-jp/library/b6x6shw7.aspx

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.015 sec.