カスタムFormsAuthenticationTicketの検証

Question

私は多くのasp.netアプリケーションをホストするWebサイトを持っています。 MVC2で書かれたものと、MVC3で書かれたものと、社内で書かれていないものとバイナリデプロイされたもの（ソースコードがありますが）がASP.Net 2.0 Webフォームに書かれています。これらすべてのサイトには、ログインアプリケーションの1つのログインページが使用されています。我々は、すべてのアプリケーションを共有しているため、これを行うことができます。

1. 同じアプリケーションプール
2. 同じマシンキー
3. 同じログインCookie名

を私の問題は、彼らはまた、セキュリティ上の問題を共有しています、クッキースプーフィング保護なし。 ログインクッキー（おそらくuseradataフィールド内）にいくつかの追加情報（ipの最初の2バイト、ユーザーエージェント）を追加して、すべてのリクエストでこれを確認してから、クッキーを受け入れる予定です。

私の質問は、フォーム認証チケットをチェックしてユーザーをロードする場所です。ログインを使用する前にいくつかの余分なことを確認するためにこれを上書きすることができます。

このコードをすべてのglobal.csに追加する必要がない場合はプラスになり、設定ファイルのdllを参照してdllを参照できます。

Answer 1

新しいFormsAuthenticationModuleを作成する以外は、認証を無効にすることはできませんが、より簡単な方法があります。 ASP.NETパイプライン処理要求が処理されている間、各ステップでイベントが発生します。ここでASP.NETパイプラインを利用して作業を行います。あなたのケースでは

、あなたはPostAuthenticateRequestHandlerイベントハンドラで、あなたのクッキーを検証することができます。

HttpCookie authCookie = Context.Request.Cookies["YourFormsCookieName"]; 
if (IsValidAuthCookie(authCookie)) 
{ 
    // do some stuff 
} 
else 
{ 
    // expire cookie using FormsAuthentication.Signout() 
    // do some stuff 
} 

これは便利なリンクです：私は助けるが、唯一の私のセッションIDではない、私のログインCookieを手伝ってくれましたことだろうかどうかを確認するために、カスタムSessionIDManagerを追加したサブノートでForms Authentication