ASP.NET Forms認証 のバックアップ(No.18)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ASP.NET Forms認証 へ行く。
  • 1 (2015-04-27 (月) 13:52:21)
  • 2 (2015-04-27 (月) 14:14:00)
  • 3 (2015-05-04 (月) 13:31:14)
  • 4 (2016-01-26 (火) 12:57:15)
  • 5 (2016-02-22 (月) 11:10:23)
  • 6 (2016-03-28 (月) 22:32:58)
  • 7 (2016-09-13 (火) 16:36:36)
  • 8 (2016-09-20 (火) 13:06:52)
  • 9 (2016-11-15 (火) 09:56:10)
  • 10 (2016-11-25 (金) 13:19:03)
  • 11 (2016-12-07 (水) 15:09:06)
  • 12 (2017-01-04 (水) 15:47:29)
  • 13 (2017-01-12 (木) 17:04:33)
  • 14 (2017-02-27 (月) 18:12:28)
  • 15 (2018-04-09 (月) 10:49:49)
  • 16 (2018-04-19 (木) 22:11:41)
  • 17 (2018-04-23 (月) 10:22:14)
  • 18 (2019-07-10 (水) 14:54:25)
  • 19 (2019-07-10 (水) 16:02:06)
  • 20 (2020-07-02 (木) 18:44:06)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る
  • ASP.NET
  • 認証基盤

目次 †

概要 †

• Forms認証とは、Formにユーザアカウント情報を入力してWeb/APサーバで認証をする認証方式の呼称である。

• ASP.NET Forms認証は、ASP.NETでForms認証を実装するための、最も基本的な認証基盤機能である。

• ASP.NET Identityでは、非常に沢山のことを覚え、実装を記述する必要があるが、Forms認証では、
  僅か、下記の実装のみで暗号化されたCookie認証チケットを使用した認証基盤機能を利用できるため、
  ASP.NETアプリケーションの認証基盤として利用される機会が多い。

web.config上の設定 †

図 web.configの設定

<authentication mode="Forms">
  <forms name="formauth" 
    loginUrl="（ログイン画面のＵＲＬ）"
    defaultUrl="（メニュー画面のＵＲＬ）"
    protection="All"
    timeout="60"
    path="/"
    requireSSL="false"
    slidingExpiration="true"
    enableCrossAppRedirects="false"
    cookieless="UseDeviceProfile" domain="">
  </forms>
</authentication>
<authorization>
  <deny users="?"/>
</authorization>

web.config（authenticationタグのtimeout属性）に記述する。

ログイン画面と認証ロジック †

ログイン画面 †

認証ロジック（C#の場合） †

認証ロジック（コードビハインド）

protected void Button1_Click(object sender, EventArgs e)
{
    // ユーザ名、パスワードを取得。
    string userName = this.TextBox1.Text
    string passWord = this.TextBox2.Text
    
    // 任意の認証ロジック（userName、passWordからユーザを認証する）。
    
    // 認証か完了した場合、認証チケットを生成し、元のページにRedirectする。
    // 第２引数は、クライアントがCookieを永続化（ファイルとして保存）するかどうか。
    // を設定する引数であるが、セキュリティを考慮して、falseの設定を勧める。
    FormsAuthentication.RedirectFromLoginPage(userName, false);
}

詳細 †

クロスサイト設定 †

1 つのサーバ上 or Web ファーム内のアプリケーション間 †

machine keyと認証チケットのcookie名を同じにする。

• Web ファームの認証のベスト プラクティス
  https://msdn.microsoft.com/ja-jp/library/cc419744.aspx

• アプリケーション間のフォーム認証
  https://msdn.microsoft.com/ja-jp/library/eb0zx8fc.aspx

同一ドメインのサイト間での利用 †

上記に加え、enableCrossAppRedirects?要素をtrueに設定することで、
ASP.NET2.0からWebサイト間のシングル サイン オンも可能になった。

• MSDNライブラリ > .NET Frameworkの全般リファレンス > authenticationのforms要素(ASP.NET設定スキーマ)
  http://msdn.microsoft.com/ja-jp/library/1d3t3c61.aspx

• Sharing Authentication Cookie between two ASP.NET Applications - CodeProject?
  http://www.codeproject.com/Tips/438319/Sharing-Authentication-Cookie-between-two-ASP-NET

コンテンツごとの制御 †

静的コンテンツへの適用 †

また、Forms認証はASP.NETの認証基盤機能であるため、
動的コンテンツ（aspx）以外に利用できないと思われがちだが、
下記のような設定によって静的コンテンツにも適用できるようになる 。

• @IT > .NET TIPS > ［ASP.NET］.htmlや.pdfファイルをフォーム認証やロギングの対象にするには？
  http://www.atmarkit.co.jp/fdotnet/dotnettips/114iisrelate/iisrelate.html

ただし、IIS6.0では、web.configファイルに以下の例に従った記述が必要になる。

<httpHandlers>
  <add verb="*" path="*.pdf" type="System.Web.StaticFileHandler" />
  <add verb="*" path="*.html" type="System.Web.StaticFileHandler" />
</httpHandlers>

※ 拡張子ごとに、addタグを追加する。

• MSDNライブラリ > .NET Frameworkの全般リファレンス > httpHandlers要素 (ASP.NET設定スキーマ)
  http://msdn.microsoft.com/ja-jp/library/bya7fh0a.aspx

一部コンテンツを認証対象外に設定する。 †

以下の設定で認証対象外に設定できる（フォルダやファイル単位で指定できる）。

<!-- Framework ファイルを認証対象外にする -->
<location path="Framework/Img">
  <system.web>
    <authorization>
      <allow users="*"/>
    </authorization>
  </system.web>
</location>
<location path="Framework/Js">
  <system.web>
    <authorization>
      <allow users="*"/>
    </authorization>
  </system.web>
</location>
<location path="common">
  <system.web>
    <authorization>
      <allow users="*"/>
    </authorization>
  </system.web>
</location>

• location 要素 (ASP.NET 設定スキーマ)
  https://msdn.microsoft.com/ja-jp/library/b6x6shw7.aspx

クロスサイト、クロスドメイン †

• ASP.NETのForms認証では、
  • クッキー認証チケットをクロスサイトで使用できるが、
  • クロスドメインでのクッキー認証チケットの引継は不可能。

という制限を持っている。

• クロスドメイン間のサイトで、テンポラリの認証情報をQueryString?等で引き継いで、
  連携先サイトで、別途Forms認証のクッキー認証チケットを発行すると言う方式の実績もある。
  

• しかし、小手先の実装だし、要件に合わないようなら、個別に
  • 「統合認証基盤型」の認証基盤製品の導入
  • 「クレームベース認証」のサポート

等を検討した方が良さそう。

ASP.NET Web Forms以外での利用 †

ASP.NET Mobile Web †

なお、携帯端末用のASP.NET Mobile Web（既にdiscon）の場合、端末によっては、
Cookieをサポートしていないケースがあるため、Forms認証の認証チケット（Cookie）の持ち回り方法が異なる。

web.configのformsタグの定義を次のように、cookieless="UseUri?"と記述する。

<forms name="formauth" ～ cookieless="UseUri"/>

この場合、下記に示す様に、ASP.NET Mobile Webにより、URLにForms認証の認証チケット（Cookie）が埋め込まれる。

http://[FQDN名]/[アプリケーション名]/S(SessionID)F(Forms認証の暗号化された認証チケット)/xxx.aspx

ASP.NET Mobile Web では、URLに埋め込まれたForms認証の認証チケット（Cookie）などの情報を上手く引き継ぐために、
画面遷移の際は、MobilePage?.RedirectToMobilePage? メソッドを使用する必要がある。

ASP.NET MVC における 認証 †

ASP.NET Core における 認証 †

参考 †

ASP.NET でSessionCookie、Cookie認証Ticketを共有する方法 †

---

Tags: :.NET開発, :ASP.NET, :ASP.NET Web Forms, :ASP.NET MVC, :認証基盤, :セキュリティ

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.025 sec.