Use a autenticação por Formulários para gerenciar o registro e a autenticação do cliente no nível do aplicativo, em vez de contar com os mecanismos de autenticação fornecidos pelo sistema operacional.

Importante

Como a autenticação por Formulários envia o nome de usuário e senha ao servidor como texto sem formatação, você deve usar a criptografia SSL (Secure Sockets Layer) para a página de logon e todas as demais páginas do aplicativo, exceto a home page.

Lista de elementos da UI

Nome do elementoDescrição

URL de Login

Especifica o URL para o qual a solicitação é redirecionada para logon, caso nenhum cookie de autenticação válido seja encontrado. O valor padrão é login.aspx.

Tempo limite do cookie de autenticação (em minutos)

Especifica o tempo, em minutos inteiros, após o vencimento do cookie. O valor padrão é 30. Caso o atributo SlidingExpiration seja verdadeiro, o atributo time-out é um valor variável, vencendo o número especificado de minutos após o recebimento da última solicitação. Para impedir o comprometimento do desempenho e para evitar vários avisos do navegador para usuários que tenham os avisos de cookies ativados, o cookie é atualizado quando mais da metade do tempo especificado tiver decorrido.

Modo

Especifica onde armazenar o tíquete de autenticação por Formulários. As opções são:

  • Não usar cookies - Cookies não são usados.

  • Usar cookies - Cookies são sempre usados, independentemente do dispositivo.

  • Detecção automática - Cookies são usados caso o perfil do dispositivo dê suporte a cookies. Do contrário, não é usado nenhum cookie. Para navegadores desktop com suporte a cookies, o ASP.NET verifica se os cookies estão habilitados.

  • Usar perfil do dispositivo - Cookies são usados caso o perfil do dispositivo dê suporte a cookies. Do contrário, não é usado nenhum cookie. O ASP.NET não verifica se os cookies estão habilitados em dispositivos que dão suporte a cookies. Trata-se da configuração padrão.

Nome

Define o nome do cookie de autenticação por Formulários. O padrão é .ASPXAUTH.

Modo de proteção

Especifica o tipo de criptografia, caso haja alguma, para uso em cookies. As opções são:

  • Criptografia e validação - Especifica se a validação de dados e a criptografia são usadas na proteção do cookie. A opção usa o algoritmo de validação dos dados configurado (com base no elemento <machineKey>). O 3DES (Triple-DES) é usado para criptografia, caso haja um disponível, e a chave é longa o suficiente (48 bytes ou mais). Criptografia e validação é o valor padrão e recomendável.

  • Nenhuma - Especifica que a criptografia e a validação são desabilitadas para sites que estejam usando cookies apenas para personalização e que tenham requisitos de segurança menos exigentes. A Microsoft não recomenda o uso da configuração; no entanto, é a forma que menos usa recursos para habilitar a personalização com o uso do .NET Framework.

  • Criptografia - Especifica que o cookie está criptografado usando Triple-DES ou DES, mas a validação de dados não é realizada no cookie. Cookies usados dessa maneira podem estar sujeitos a ataques com texto sem formatação.

  • Validação - Especifica que um esquema de validação verifica se o conteúdo de um cookie criptografado não foi alterado em trânsito. O cookie é criado usando a validação de cookie, concatenando uma chave de validação com os dados do cookie, computando o Message Authentication Code (MAC) e acrescentando o MAC ao cookie de saída.

Exige SSL

Especifica se uma conexão SSL é obrigatória para transmitir o cookie de autenticação. Por padrão, isso está desabilitado.

Estender expiração do cookie em todas as solicitações

Especifica se a expiração variável está habilitada. A expiração variável redefine o tempo de um cookie de autenticação ativo para vencer mediante a solicitação durante uma sessão exclusiva. Por padrão, isso está habilitado.

Consulte também


Sumário