我的FormsAuthenticationTicket做错了什么？

Question

我正在尝试重新创建FormsAuthentication.SetAuthCookie()正常生成的cookie和webconfig中的cookie。

<authentication mode="Forms">
            <forms loginUrl="~/Account/LogOn" protection="All" timeout="20160" name=".ASPXAUTH" path="/" requireSSL="false" slidingExpiration="false" defaultUrl="default.aspx" cookieless="UseDeviceProfile" enableCrossAppRedirects="false"/>
        </authentication>

但是，我想再发送一段数据，因此据我所知，我必须创建自己的FormsAuthenticationTicket来添加这些数据(或者将其与SetAuthCookie中的userName合并并进行拆分)。

所以我试图让它像从webconfig生成的一样安全(或更安全)，具有与从webconfig生成的值相同的值。

这就是我到目前为止所掌握的

 FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, "chobo2", DateTime.Now, DateTime.Now.AddYears(10), true, "test");
            string encTicket = FormsAuthentication.Encrypt(ticket);
            Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, encTicket));

然而，我仍然不确定它使用的是什么。它是否使用webconfig中的内容？因为它既不要求cookieName，也不要求超时。

当我通过web developer查看这个cookie时，它显示它不安全，并且在会话结束时过期。

当我查看从webconfig生成的文件时，它的到期日期类似于10月12日，仍然显示不安全(我猜它指的是SSL)。

此外，我仍然对userData感到困惑。我如何添加我稍后获取这个值？如何添加超过一次的数据？

我是否总是必须解密(即调用decrypt方法)来解密cookie，还是它会自动解密。

cookie默认使用哪种加密方式？

谢谢

Answer 1

您需要在窗体身份验证票证上手动设置所有这些属性。您可以通过FormsAuthentication类上的静态访问器访问大多数值。仅当使用FormsAuthentication.GetAuthCookie或FormsAuthentication.SetAuthCookie时，才会使用web.config中的配置设置。

通过提取并解密窗体身份验证票证，然后在解密的票证上使用UserData属性访问器，可以检索用户数据。

您始终需要解密票证才能访问用户数据。

http://msdn.microsoft.com/en-us/library/ms998310.aspx包含有关使用的加密和验证密码的详细信息，但默认情况下，票证使用AES加密并使用SHA1 (HMACSHA1)进行验证。

http://support.microsoft.com/kb/910443包含更多信息和链接，可以回答您的任何进一步问题。