MVC5用户未在http下进行身份验证

Question

用户不能从http请求的页面中识别为身份验证。

我最近在我的网站上安装了ssl。在我的主页上，如果用户经过身份验证，我就会显示他们的用户名。我注意到当我使用http导航到页面时，我总是被注销。当我导航到页面中的标志时，我马上就被正确识别了。就好像我的网站只能从https请求中读取身份验证cookie一样。

我使用的是ASP.Net MVC 5，我使用的是(大部分)默认Owins身份验证堆栈。

这是正常行为吗？在非ssl http请求下，我可以做什么来识别我的用户吗？

Answer 1

详细信息可在本页中找到：http://brockallen.com/2013/10/24/a-primer-on-owin-cookie-authentication-middleware-for-the-asp-net-developer/

我在这里复制了这一页的部分文本：

=====================================================================

默认情况下(想必是为了简单和易于开发)，cookie只在传入请求为SSL的情况下发出安全标志(即要求SSL)。当您将应用程序发布到生产中时，这是一个需要更改的重要设置。此设置配置为枚举：

public enum CookieSecureOption
{
   SameAsRequest,
   Never,
   Always
}

并将在此配置更改(请注意CookieSecure标志)中完成：

public void ConfigureAuth(IAppBuilder app)
{
   app.UseCookieAuthentication(new CookieAuthenticationOptions
   {
      AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
      LoginPath = new PathString("/Account/Login"),
      CookieSecure = CookieSecureOption.Always
   });
}

=================================

我复制了这个CookieSecure属性的文档如下：

确定cookie是否只应在HTTPS请求上传输。默认情况下，如果执行SignIn的页面也是HTTPS，则将cookie限制为HTTPS请求。如果页面中有HTTPS签名，并且站点的部分是HTTP，则可能需要更改此值。

因此，我将CookieSecure的值更改为CookieSecure，这解决了我的问题。