Asp.net l'authentification de formulaires et de multiples domaines

J'ai deux domaines, domain1.com et domain2.com pointant à la même asp.net site web qui utilise asp.net construire dans le formulaire d'authentification. Le problème est que, même si les domaines pointent vers le même site web, l'utilisateur seulement sont authentifiés pour un seul domaine à la fois. Donc, si il utilise www.domain1.com d'abord et ensuite des visites www.domain2.com c'est le même site dans le dos mais il n'est pas authentifié pour www.domain1.com. La même chose se produit si il utilise www et pas www lors de la visite de ces sites.

C'est ce que j'utilise à la connexion:

FormsAuthentication.RedirectFromLoginPage(username, cookie.Checked);

Pour vérifier la connexion:

User.Identity.IsAuthenticated

Comment puis-je faire, l'utilisateur obtient authentifié pour tous les domaines qui pointe vers le même site web?

  • Le cookie d'authentification, comme la plupart des cookies sont stockés par domaine pour éviter de la croix-domaine pollenation et l'usurpation d'identité. Pourquoi voudriez-vous faire cela?
  • Parce que parfois vous avez plusieurs sites que l'utilisateur doit être en mesure d'utiliser de façon transparente, sans avoir à se connecter à chacun d'eux séparément.
  • Pourquoi ne pas suivre le StackOverflow méthodologie et d'utiliser une authentification externe fournisseur OpenID.
  • Vous auriez encore besoin d'un mécanisme pour transférer le billet pour le deuxième domaine, même si vous utilisez OpenID - quand DONC a l'aide de UserVoice.com pour les bug/problème de suivi, j'ai toujours eu à se connecter là, même si j'ai été en utilisant le même fournisseur OpenID sur les deux sites...
InformationsquelleAutor Martin | 2010-01-13
  1. 44

    Ce que vous êtes après est une solution d'authentification Unique.

    Comme ASP.NET l'authentification est au cœur généralement basées sur les cookies, il y a deux choses à regarder:

    1. Définir vos cookies correctement.
    2. Rebondir vos utilisateurs à l'alternative de domaine lors de l'inscription.

    À la recherche à la fois de ces plus en profondeur:

    1. Mettre les cookies correctement

    Vous devez vous assurer que ASP.NET l'écriture est le ticket d'authentification des cookies pour le domaine racine, plutôt que de le domaine explicite ce qui est fait à l'aide de la domain attribut de l'élément forms:

    <forms 
   name="name" 
   loginUrl="URL" 
   defaultUrl="URL"
   domain=".example.com">
</forms>

    Vous devez définir votre domaine ".example.com" - la tête - c'est la clé. De cette façon, les demandes de example.com et http://www.example.com permettra à la fois de lire le cookie correctement, et d'authentifier l'utilisateur.

    2. Rebond des utilisateurs à l'alternative de domaine

    Ce que nous avons mis en place sur quelques sites qui utilisent une connexion unique est un tour de processus d'ouverture de session. L'utilisateur s'authentifie sur le premier domaine, nous chiffrer les informations de connexion, et de les rediriger vers une page sur le deuxième domaine, connectez-vous en là, et ensuite rediriger vers le serveur d'origine.

    Ce côté client de redirection est important - les cookies sont écrites seulement quand il ya une réponse au client, et le navigateur a visiter le deuxième domaine de réellement voir les cookies.

    D'autres aspects à prendre en compte dans ce genre de set-up:

    1. Vous voudrez probablement avoir un timeout sur la connexion chiffrées dans les détails, de sorte que rappelant que l'URL à partir de l'historique du navigateur n'est pas automatiquement la session de l'utilisateur.
    2. Si les domaines sont sur des serveurs différents, vous devez vous assurer que la machine clés sont configurés de la même, de sorte que vous pouvez crypter et décrypter les données correctement, ou utilisez une autre clé partagée.
    3. Vous aurez probablement envie de mettre en place un mécanisme de rappeler les utilisateurs ReturnUrl partir du serveur d'origine, de sorte que vous pouvez les envoyer de nouveau à la bonne place.

    Vous pouvez également jeter un oeil à "L'Authentification De Formulaires À Travers Les Applications"

    • Je sais que cette question est vieux, mais je suis aux prises avec une situation semblable. Je suis entrain de créer un site mobile, et j'ai besoin de partager l'authentification avec le site principal (un site existant). J'ai suivi les suggestions de l'article lié à la fin, mais toujours pas de chance. J'ai essayé d'ajouter le domain=".example.com" attribut (remplacé par le nom de domaine du site principal), mais maintenant, l'authentification ne semble pas être un travail à tous. (Déconnexion n'a aucun effet, j'ai même effacé les navigateurs les cookies.) J'avais envisager de payer un raisonnable des honoraires si vous pouviez passer un peu de temps à m'aider.
    • L'étape 2 a l'air un peu louche... chiffrer les informations de connexion & de les rediriger vers une page sur le deuxième domaine.... hmmm... un hacker pourrait potentiellement intercepter les données cryptées entre votre serveur & le client, puis ouvrez une session dans le récit de la victime à partir de la 2ème domaine à l'aide de données chiffrées. Ils n'auraient même pas à déchiffrer les données. Ils venaient tout juste d'utiliser votre code javascript côté client et injecter les données cryptées dans votre propre système, puis de le compromettre. Même si vous avez fait que les données chiffrées expire en quelques millisecondes, le hacker pourrait être plus rapide que l'utilisateur est redirigé.
    • Salut Marc, en effet, idéalement, tous de ce qui devrait être sur SSL - ce qui devrait réduire la plupart de ces préoccupations - en effet, les données chiffrées a vivre de plus de millisecondes pendant que nous parlons de trafic réseau et les temps de latence. Vous ne savez pas où le JavaScript hypothèse venu (j'aurais pu être plus précis), nous avons l'émission 302 redirige comme une réponse qui serait le navigateur à la question de la demande appropriée au serveur suivant dans la chaîne d' - cependant, si je me souviens bien c'était toujours en s'appuyant sur les chaînes de requête - d'où l'utilisation de SSL. Ensuite, nous avons été plus limitée pour le protocole SSL compromis.
    • le domain attribut ne doit pas avoir une période (arrêt complet) en elle. mis à domain="example.com" et cela devrait fonctionner.
    • tout dépend de ce que vous hébergez votre site. Si c'est sur www.example.com réglage du domaine de cookie sans que la période ne correspond pas à votre hôte et le cookie sera rejeté, dans ce cas, vous devez le régler soit www.example.com ou tout simplement .example.com pour correspondre à tous les sous-domaines.
    • c'était mon point. mais il semble que nous diffèrent sur la façon de l'appliquer. Dans mon expérience (j'ai actuellement un domaine, avec 3 sous-domaines à l'aide de Formulaires Auth), je dois mettre la domain attribut pour le maître de domaine seul, sans l'arrêt complet. Tous les sous-domaines accepter la auth cookie dans cette configuration.

    InformationsquelleAutor Zhaph - Ben Duguid
  2. 3

    Vous pouvez essayer le réglage de cookieless="true".

    • Je ne suis pas sûr de la façon de résoudre la croix d'authentification de domaine?
    • Au lieu de cookies (qui sont limitées à un seul domaine), il envoie le ticket d'authentification dans l'URL.
    • mais le jeton dans l'URL est toujours codé uniquement pour les authenicating serveur n'est-ce pas?
    • Oui, mais d'après l'OP, c'est la même chose ASP.NET l'application et le même serveur (c'est à dire même machine clés), c'est juste un de redirection de domaine, de manière à ce travail.
    InformationsquelleAutor Darin Dimitrov
  3. -4

    Vous devriez lire Expliqué: L'Authentification Par Formulaires sur MSDN. Ils couvrent la Croix-Authentification de Domaine.

    • où en que le doc ne fait-il référence à la croix-authentification de domaine? J'ai parcouru le doc et ne peut trouver aucune info à côté des points qui semblent faire obstacle à la croix-authentification de domaine. Il y a un lien vers un article qui parle de l'authentification à travers de multiples domaines AD qui est évidemment un autre problème de l'espace.
    InformationsquelleAutor Filip Ekberg