Ablaufsteuerung der Formularauthentifizierung

Artikel
10/22/2014

Aktualisiert: November 2007

Die folgende Tabelle zeigt die Ablaufsteuerung für die ASP.NET-Formularauthentifizierung.

Browser und HTTP-Operation	Serverantwort
Fordert eine geschützte Ressource von einem Server an. Die HTTP-Operation lautet: `GET /default.aspx`	Wenn kein Authentifizierungscookie vorhanden ist, wird die Anforderung zur Abfrage von Anmeldeinformationen auf eine Anmeldeseite umgeleitet. Informationen zur sendenden Seite werden unter dem Schlüssel RETURNURL in die Abfragezeichenfolge aufgenommen. Die Server-HTTP-Antwort lautet: `302 Found Location: http://samples.microsoft.com/logon.aspx?RETURNURL=/default.aspx`
Folgt der Umleitung auf die Anmeldeseite. Die HTTP-Operation lautet: `GET /logon.aspx?RETURNURL=/default.aspx`	Gibt die Anmeldeseite zurück. Aus Sicherheitsgründen wird empfohlen, für die Anmeldeseite SSL (Secure Socket Layer) zu verwenden, um die Übertragung der Anmeldeinformationen des Benutzers als Klartext zu vermeiden. Die Server-HTTP-Antwort lautet: `200 OK`
Nachdem der Benutzer auf der Anmeldeseite die Anmeldeinformationen eingegeben hat, wird die Seite übertragen. Die HTTP-Operation lautet: `POST /logon.aspx?RETURNURL=/default.aspx`	Überprüft die Anmeldeinformationen und leitet den Browser zu dem ursprünglichen, im QueryString als RETURNURL angegebenen URL um, wenn die Anmeldeinformationen authentifiziert sind. Standardmäßig wird das Authentifizierungsticket als Cookie gesendet. Hinweis: Mithilfe der CookieMode-Eigenschaft können Sie angeben, dass das Authentifizierungsticket nicht in einem Cookie, sondern im URL übertragen werden soll. Die Server-HTTP-Antwort lautet: `302 Found Location: /default.aspx`
Folgt der Umleitung und fordert die ursprüngliche Ressource erneut an. Die HTTP-Operation lautet: `GET /default.aspx`	Wenn der Benutzer autorisiert ist, wird Zugriff gewährt und das Authentifizierungscookie ausgestellt, das ein Authentifizierungsticket enthält. Nachfolgende Anforderungen derselben Browsersitzung werden authentifiziert, wenn das Modul das Cookie überprüft. Es kann ein persistentes Cookie erstellt werden, das für künftige Sitzungen, jedoch nur bis zum Ablaufdatum des Cookies, verwendet werden kann. Die Server-HTTP-Antwort lautet: `200 OK Set-Cookie: ASPXTICKET=ABCDEFG12345;Path=/` Beachten Sie, dass der Pfad auf / festgelegt ist. Durch die Berücksichtigung der Groß- und Kleinschreibung bei Cookienamen wird die Verwendung inkonsistenter Groß- und Kleinschreibung für die URLs einer Site verhindert. Wenn der Pfad z. B. auf /Sparplan festgelegt ist und ein Hyperlink den Ausdruck /sparplan enthält, muss der Benutzer neu authentifiziert werden, da der Browser das Cookie nicht sendet.

Browser und HTTP-Operation

Serverantwort

Fordert eine geschützte Ressource von einem Server an. Die HTTP-Operation lautet:

GET /default.aspx

Wenn kein Authentifizierungscookie vorhanden ist, wird die Anforderung zur Abfrage von Anmeldeinformationen auf eine Anmeldeseite umgeleitet. Informationen zur sendenden Seite werden unter dem Schlüssel RETURNURL in die Abfragezeichenfolge aufgenommen. Die Server-HTTP-Antwort lautet:

302 Found
Location: http://samples.microsoft.com/logon.aspx?RETURNURL=/default.aspx

Folgt der Umleitung auf die Anmeldeseite. Die HTTP-Operation lautet:

GET /logon.aspx?RETURNURL=/default.aspx

Gibt die Anmeldeseite zurück. Aus Sicherheitsgründen wird empfohlen, für die Anmeldeseite SSL (Secure Socket Layer) zu verwenden, um die Übertragung der Anmeldeinformationen des Benutzers als Klartext zu vermeiden. Die Server-HTTP-Antwort lautet:

200 OK

Nachdem der Benutzer auf der Anmeldeseite die Anmeldeinformationen eingegeben hat, wird die Seite übertragen. Die HTTP-Operation lautet:

POST /logon.aspx?RETURNURL=/default.aspx

Überprüft die Anmeldeinformationen und leitet den Browser zu dem ursprünglichen, im QueryString als RETURNURL angegebenen URL um, wenn die Anmeldeinformationen authentifiziert sind. Standardmäßig wird das Authentifizierungsticket als Cookie gesendet.

Hinweis:

Mithilfe der CookieMode-Eigenschaft können Sie angeben, dass das Authentifizierungsticket nicht in einem Cookie, sondern im URL übertragen werden soll.

Die Server-HTTP-Antwort lautet:

302 Found
Location: /default.aspx

Folgt der Umleitung und fordert die ursprüngliche Ressource erneut an. Die HTTP-Operation lautet:

GET /default.aspx

Wenn der Benutzer autorisiert ist, wird Zugriff gewährt und das Authentifizierungscookie ausgestellt, das ein Authentifizierungsticket enthält. Nachfolgende Anforderungen derselben Browsersitzung werden authentifiziert, wenn das Modul das Cookie überprüft. Es kann ein persistentes Cookie erstellt werden, das für künftige Sitzungen, jedoch nur bis zum Ablaufdatum des Cookies, verwendet werden kann. Die Server-HTTP-Antwort lautet:

200 OK
Set-Cookie: ASPXTICKET=ABCDEFG12345;Path=/

Beachten Sie, dass der Pfad auf / festgelegt ist. Durch die Berücksichtigung der Groß- und Kleinschreibung bei Cookienamen wird die Verwendung inkonsistenter Groß- und Kleinschreibung für die URLs einer Site verhindert. Wenn der Pfad z. B. auf /Sparplan festgelegt ist und ein Hyperlink den Ausdruck /sparplan enthält, muss der Benutzer neu authentifiziert werden, da der Browser das Cookie nicht sendet.

Siehe auch

Weitere Ressourcen

Sicherheit für ASP.NET-Webanwendungen

Formularauthentifizierungsanbieter

Freigeben über

Ablaufsteuerung der Formularauthentifizierung

Siehe auch

Weitere Ressourcen

Zusätzliche Ressourcen