Utilisez le mode d'authentification par formulaire pour gérer l'authentification et l'inscription des clients au niveau de l'application, au lieu de compter sur les mécanismes d'authentification fournis par le système d'exploitation.

Important

Dans la mesure où l'authentification par formulaire envoie le nom d'utilisateur et le mot de passe au serveur sous la forme de texte brut, vous devez utiliser le chiffrement SSL (Secure Sockets Layer) pour la page d'ouverture de session et pour toutes les autres pages de votre application, à l'exception de la page d'accueil.

Liste d'éléments de l'interface utilisateur

Nom de l'élémentDescription

URL de connexion

Spécifie l'URL vers laquelle la demande est redirigée pour l'ouverture de session si aucun cookie d'authentification valide n'est trouvé. La valeur par défaut est login.aspx.

Délai d'attente du cookie d'authentification (en minutes)

Spécifie l'intervalle, en minutes entières, après lequel le cookie expire. La valeur par défaut est 30. Si l'attribut SlidingExpiration a la valeur True, l'attribut time-out est une valeur décalée, qui expire après le nombre de minutes spécifié après l'heure à laquelle la dernière demande a été reçue. Pour éviter une altération des performances et plusieurs avertissements de navigateur pour les utilisateurs qui ont activé les avertissements de cookie, le cookie est mis à jour lorsque plus de la moitié du temps spécifié s'est écoulé.

Mode

Spécifie où stocker le ticket d'authentification par formulaire. Les options sont :

  • Ne pas utiliser les cookies : les cookies ne sont pas utilisés.

  • Utiliser les cookies : les cookies sont toujours utilisés, indépendamment du périphérique.

  • Détection automatique : les cookies sont utilisés si le profil de périphérique les prend en charge. Sinon, aucun cookie n'est utilisé. Pour les navigateurs de bureau qui sont connus pour prendre en charge les cookies, ASP.NET vérifie si les cookies sont activés.

  • Utiliser le profil de périphérique : les cookies sont utilisés si le profil de périphérique les prend en charge. Sinon, aucun cookie n'est utilisé. ASP.NET ne vérifie pas si les cookies sont activés sur les périphériques qui les prennent en charge. Il s'agit du paramètre par défaut.

Nom

Définit le nom du cookie d'authentification par formulaire. Le nom par défaut est .ASPXAUTH.

Mode de protection

Spécifie le type de chiffrement, le cas échéant, à utiliser pour les cookies. Les options sont :

  • Chiffrement et validation : spécifie que la validation et le chiffrement des données sont tous deux utilisés pour aider à protéger le cookie. Cette option utilise l'algorithme de validation des données configuré (basé sur l'élément <machineKey>). 3DES est utilisé pour le chiffrement, s'il est disponible et que la clé est assez longue (48 octets ou plus). Chiffrement et validation est la valeur par défaut et recommandée.

  • Aucun : spécifie que la validation et le chiffrement sont tous deux désactivés pour les sites qui utilisent des cookies uniquement pour la personnalisation et qui ont des exigences en matière de sécurité plus faibles. Microsoft ne vous recommande pas d'utiliser ce paramètre ; toutefois, il s'agit de la solution qui utilise le moins de ressources pour activer la personnalisation à l'aide du .NET Framework.

  • Chiffrement : spécifie que le cookie est chiffré à l'aide de DES, mais la validation des données n'est pas exécutée sur le cookie. Les cookies utilisés de cette manière peuvent être soumis à des attaques en texte clair.

  • Validation : spécifie qu'une méthode de validation vérifie que le contenu d'un cookie chiffré n'a pas été modifié pendant le transit. Le cookie est créé à l'aide de la validation de cookie en concaténant une clé de validation avec les données de cookie, en calculant un code d'authentification de message et en ajoutant celui-ci au cookie sortant.

Nécessite SSL

Spécifie si une connexion SSL est requise pour transmettre le cookie d'authentification. Par défaut, cette option est désactivée.

Étendre l'expiration du cookie à chaque demande

Spécifie si l'expiration décalée est activée. L'expiration décalée réinitialise le temps d'expiration d'un cookie d'authentification actif à chaque demande pendant une seule session. Par défaut, cette option est activée.

Voir aussi


Table des matières