Verwenden Sie Formularauthentifizierung zum Verwalten von Clientregistrierung und -authentifizierung auf Anwendungsebene, anstelle der Authentifizierungsmechanismen des Betriebssystems.

Wichtig

Da der Benutzername und das Kennwort bei der Formularauthentifizierung im Klartext an den Server gesendet werden, sollten Sie für die Anmeldeseite und alle anderen Seiten der Anwendung, mit Ausnahme der Startseite, SSL (Secure Sockets Layer)-Verschlüsselung verwenden.

Liste der Benutzeroberflächenelemente

ElementnameBeschreibung

URL für Anmeldung

Gibt die URL an, an die Anforderungen zur Anmeldung umgeleitet werden, wenn kein gültiges Authentifizierungscookie gefunden wird. Der Standardwert ist login.aspx.

Timeout für Authentifizierungscookie (in Minuten)

Gibt die Zeit in ganzen Minuten an, nach denen das Cookie abläuft. Der Standardwert ist 30. Wenn das SlidingExpiration-Attribut auf TRUE festgelegt wurde, ist das time-out-Attribut ein gleitender Wert, der nach der angegebenen Anzahl von Minuten seit der letzten empfangenen Anforderung abläuft. Um die Leistung zu gewährleisten und mehrere Browserwarnungen zu vermeiden, wenn Benutzer Cookiewarnungen aktiviert haben, wird das Cookie aktualisiert, sobald die Hälfte der Zeit abgelaufen ist.

Modus

Gibt an, wo das Formularauthentifizierungsticket gespeichert werden soll. Die Optionen lauten:

  • Keine Cookies verwenden - Cookies werden nicht verwendet.

  • Cookies verwenden - Cookies werden immer verwendet, unabhängig vom Gerät.

  • Automatisch erkennen - Die Cookies werden verwendet, wenn das Geräteprofil Cookies unterstützt. Andernfalls werden keine Cookies verwendet. Bei Desktopbrowsern, von denen bekannt ist, dass sie Cookies unterstützen, bestimmt ASP.NET, ob Cookies aktiviert wurden.

  • Geräteprofil verwenden - Cookies werden verwendet, wenn das Geräteprofil Cookies unterstützt. Andernfalls werden keine Cookies verwendet. ASP.NET überprüft nicht, ob Cookies auf Geräten, die Cookies unterstützen, aktiviert wurden. Dies ist die Standardeinstellung.

Name

Legt den Namen des Formularauthentifizierungscookies fest. Der Standardwert lautet .ASPXAUTH.

Schutzmodus

Gibt ggf. den Typ der Verschlüsselung für Cookies an. Die Optionen lauten:

  • Verschlüsselung und Gültigkeitsprüfung – Gibt an, dass zum Schutz des Cookies Datenvalidierung und Verschlüsselung verwendet werden. Bei dieser Option wird der konfigurierte Datenvalidierungsalgorithmus (auf Grundlage des <machineKey>-Elements) verwendet. Für die Verschlüsselung wird Triple-DES (3DES) verwendet, wenn dieser Algorithmus verfügbar und der Schlüssel lang genug (mindestens 48 Bytes) ist. Verschlüsselung und Gültigkeitsprüfung ist der empfohlene Standardwert.

  • Keine - Gibt an, dass sowohl die Verschlüsselung als auch die Gültigkeitsprüfung für Websites deaktiviert sind, die Cookies ausschließlich für die Personalisierung verwenden und über geringere Sicherheitsanforderungen verfügen. Microsoft rät von der Verwendung dieser Einstellung ab, die allerdings die wenigsten Ressourcen benötigt, um eine Personalisierung mit .NET Framework zu ermöglichen.

  • Verschlüsselung - Gibt an, dass das Cookie mit Triple-DES oder DES verschlüsselt wird, aber dass keine Datenvalidierung für das Cookie erfolgt. Auf diese Weise verwendete Cookies könnten Klartext-Angriffen ausgesetzt sein.

  • Gültigkeitsprüfung - Gibt an, dass mit einem Schema für die Gültigkeitsprüfung überprüft wurde, dass der Inhalt eines verschlüsselten Cookies bei der Übertragung nicht geändert wurde. Das Cookie wird mithilfe der Gültigkeitsprüfung für Cookies erstellt, indem ein Validierungsschlüssel mit den Cookiedaten verkettet, ein Message Authentication Code (MAC) berechnet und der MAC an das ausgehende Cookie angehängt wird.

Erfordert SSL

Gibt an, ob eine SSL-Verbindung erforderlich ist, um das Authentifizierungscookie zu übermitteln. Diese Option ist standardmäßig deaktiviert.

Cookieablauf bei jeder Anforderung verlängern

Gibt an, ob eine Ablaufzeit relativ zur letzten Anforderung aktiviert ist. Bei der gleitenden Ablaufzeit wird die Zeit eines aktiven Authentifizierungscookies bei jeder Anfrage während einer Sitzung zurückgesetzt. Diese Option ist standardmäßig aktiviert.

Siehe auch


Inhaltsverzeichnis