Anmelden

Select the product you need help with

INFO: Hilfe Formularauthentifizierung Sichern von mit Secure Sockets Layer (SSL)

Artikel-ID: 813829 - Produkte anzeigen, auf die sich dieser Artikel bezieht

Hinweis: Dies ist ein maschinell �bersetzter Artikel.

Maschinell-�bersetzte und englische Version des Artikels nebenander anzeigen

Dieser Artikel bezieht sich auf der folgenden Microsoft .NET Framework-Klassenbibliothek-Namespace:

System.Web.Security

Alles erweitern | Alles schlie�en

Standardm��ig ist das Cookie, das das Formularauthentifizierungsticket enth�lt nicht gesichert, wenn Sie formularbasierte Authentifizierung in einer Microsoft ASP.NET-Webanwendung verwenden. Dieser Artikel beschreibt wie Sie sichere formularbasierte Authentifizierung mit SSL (Secure Sockets Layer). Dieser Artikel beschreibt au�erdem zus�tzliche Implementierungsoptionen und alternative M�glichkeiten zum sicheren Formularauthentifizierung.

Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Formularbasierte Authentifizierung ist ein ASP.NET-Authentifizierungsdienst, der Anwendungen erm�glicht, Ihre eigenen Anmeldeschnittstellen bereitzustellen und eine benutzerdefinierte �berpr�fung der Anmeldeinformationen auszuf�hren. Bei der Formularauthentifizierung ASP.NET authentifiziert den Benutzer und leitet authentifizierte Benutzer auf die Anmeldung-Seite, die durch das LoginUrl -Attribut des im <forms> angegeben ist-Element in der Datei Web.config. Wenn Sie Anmeldeinformationen �ber das Anmeldeformular bereitstellen, die Anwendung die Anforderung authentifiziert, und das System gibt dann eine FormsAuthenticationTicket -Klasse in Form eines Cookies. Die FormsAuthenticationTicket -Klasse wird als Reaktion auf nachfolgende Cookie �bergeben Web Anforderungen von einem authentifizierten Client.

Obwohl Formularauthentifizierung Authentifizierung eine flexible M�glichkeit bietet, m�ssen Sie einige wichtige Aspekte sorgf�ltig ber�cksichtigen, wenn sch�tzen Sie eine ASP.NET-Anwendung. Sie m�ssen sch�tzen die urspr�nglichen Anmeldeinformationen mit SSL, da die Anmeldeinformationen als Klartext an den Server gesendet werden. Sie m�ssen auch sicherstellen, dass Sie sch�tzen das Cookie, das das Formularauthentifizierungsticket enth�lt. Zu diesem Zweck verwenden Sie SSL auf allen Seiten, um das Ticket zu sch�tzen. Alternativ k�nnen Sie das Formularauthentifizierungsticket verschl�sseln, indem das Schutz -Attribut des den <forms> festlegen Element auf alle oder zu Verschl�sseln , in der Datei Web.config und verwenden Sie die Encrypt -Methode des FormsAuthentication- Klasse, um das Ticket zu verschl�sseln. Weitere Informationen �ber die Encrypt -Methode von FormsAuthentication -Klasse finden Sie unter der "" Abschnitt dieses Artikels.

Vorteile der Formularauthentifizierung

Formulare Authentifizierung unterst�tzt Authentifizierung anhand von benutzerdefinierten Daten speichern wie Microsoft SQL Server-Datenbank oder Active Directory-Verzeichnisdienste. Weitere Informationen finden Sie den Abschnitt "REFERENCES" dieses Artikels.
Formularbasierte Authentifizierung unterst�tzt die rollenbasierte Autorisierung mit Rolle Lookup aus einem Datenspeicher.
Formularbasierte Authentifizierung ist problemlos integriert im Web-Benutzeroberfl�che. Weitere Informationen finden Sie den Abschnitt "REFERENCES" dieses Artikels.
ASP.NET bietet ein Gro�teil der Infrastruktur. Relativ wenig Code ist im Vergleich zu Microsoft Active Server Pages Versionen 3.0 und fr�her erforderlich
ASP.NET-Formularauthentifizierung ist Microsoft Internet Explorer nicht erforderlich. Formularbasierte Authentifizierung unterst�tzt einen breiten Bereich von Webbrowserclients.

Wie Sie Hilfe Sie Formularauthentifizierung Sicherheit

Verwenden Sie SSL f�r alle Seiten.
Verwenden Sie die Encrypt -Methode der FormsAuthentication -Klasse.

Verwenden Sie SSL f�r alle Seiten

Sicherstellen Sie zu, dass das Authentifizierungscookie innerhalb einer Clientsitzung Browser sicher, bleibt mithilfe von SSL-Verschl�sselung zu sicheren sicheren Zugriff auf alle Seiten. In der Anwendung verwenden, die SSL-Verschl�sselung, verhindern Sie jeder aus das Authentifizierungscookie beeintr�chtigen und andere wertvolle Informationen zu �bertragen.

Legen Sie den Wert der RequireSSL -Eigenschaft auf true in der Datei Web.config. Dadurch wird SSL Ort, wenn das Cookie zur�ck an den Browser gesendet wird. Wenn Sie nicht den Wert der RequireSSL auf true festlegen, wird das Formular l�st eine Ausnahme oder authentifiziert nicht mit dem Cookie.

Wenn Sie RequireSSL auf true festgelegt ist, die verschl�sselte Verbindung sch�tzen die Anmeldeinformationen des Benutzers und ASP.NET legt die HttpCookie.Secure -Eigenschaft f�r das Authentifizierungscookie. Kompatible Browser geben keine das Cookie zur�ck, sofern die Verbindung SSL verwendet. Im folgenden wird veranschaulicht, dazu in der Datei Web.config f�r Ihre Anwendung:

 <configuration>
 <system.web>
   <authentication mode="Forms">
     <forms name=".ASPXAUTH"
       loginUrl="login.aspx" 
       protection="All"
       timeout="20"
       requireSSL="true">
     </forms>
   </authentication > 
   <authorization>
     <deny users="?" />
   </authorization>
 </system.web>
</configuration>

im folgende Beispiel wird Aktion, wenn das Cookie festgelegt wurde, um sicher zu �bertragen:

Visual c# .NET Code

 string cookieName = FormsAuthentication.FormsCookieName.ToString(); 
 HttpCookie MyCookie = Context.Request.Cookies[cookieName];

 if (MyCookie.Secure)
 {
      Response.Write("The cookie is secure with SSL.");
      // Add other required code here.
 }

Visual Basic .NET Code

   Dim cookieName As String = FormsAuthentication.FormsCookieName.ToString
   Dim MyCookie As HttpCookie = Context.Request.Cookies(cookieName)
   If MyCookie.Secure Then
      Response.Write("The cookie is secure with SSL.")
      ' Add other required code here.
   End If

Verwenden der Encrypt-Methode des der FormsAuthentication-Klasse

Wenn Sie nur SSL auf der ersten Anmeldung die Anmeldeinformationen verschl�sseln, die f�r die Authentifizierung �bergeben werden verwenden, stellen Sie sicher, dass das Formularauthentifizierungsticket, das in einem Cookie enthalten ist, gesch�tzt ist. Formulare-Authentifizierungstickets m�ssen gesch�tzt werden, da das Cookie zwischen dem Client und dem Server f�r jede nachfolgende Webanforderung �bergeben wird. Um das Formularauthentifizierungsticket zu verschl�sseln, konfigurieren Sie das Attribut Protection des der <forms> Element und verwenden die Encrypt -Methode von FormsAuthentication- Klasse, um das Ticket zu verschl�sseln.

<authentication mode="Forms">
  <forms name="MyAppFormsAuth"
       loginUrl="login.aspx"
       protection="All"
       timeout="20" 
       path="/" >
  </forms>
</authentication>

da das Attribut Protection auf all festgelegt ist, wenn die Anwendung die FormsAuthentication.Encrypt -Methode aufruft, das Ticket muss �berpr�ft werden und verschl�sselt werden.

Rufen Sie die Encrypt -Methode, wenn Sie die Formulare Authentifizierungsticket erstellen. Normalerweise erstellen Sie das Ticket im Ereignishandler Anmeldung der Anwendung.

Visual c# .NET Code

string encryptedTicket = FormsAuthentication.Encrypt(authTicket);

Visual Basic .NET Code

Dim encryptedTicket As String = FormsAuthentication.Encrypt(authTicket)

Zum Anfang | Ihr Feedback an uns

Informationsquellen

Finden Sie Informationen �ber ASP.NET und Formularauthentifizierung auf der folgenden Microsoft-Websites:

Authentifizierung in ASP.NET: .NET Security Guidance
http://msdn2.microsoft.com/en-us/library/ms978378.aspx

(http://msdn2.microsoft.com/en-us/library/ms978378.aspx)

Formulare-Authentifizierungsanbieter
http://msdn2.microsoft.com/en-us/library/9wff0kyh(vs.71).aspx

(http://msdn2.microsoft.com/en-us/library/9wff0kyh(vs.71).aspx)

Weitere Informationen zu Verwendung von SSL zur Absicherung von Formularauthentifizierung finden Sie folgende Artikel der Microsoft Knowledge Base:

306590

(http://support.microsoft.com/kb/306590/EN-US/ )

INFO: �berblick �ber die ASP.NET-Sicherheit

315588

(http://support.microsoft.com/kb/315588/EN-US/ )

SO WIRD'S GEMACHT: Sichern einer ASP.NET-Anwendung mit clientseitigen Zertifikaten

313116

(http://support.microsoft.com/kb/313116/ )

PRB: Forms Authentication Anforderungen sind nicht zu LoginUrl Seite Directed

324069

(http://support.microsoft.com/kb/324069/ )

Gewusst wie: Einrichten eines Webdienstes HTTPS in IIS

326340

(http://support.microsoft.com/kb/326340/ )

AD - so wird 's gemacht: authentifizieren in Active Directory mithilfe von Formularauthentifizierung und Visual Basic .NET

301240

(http://support.microsoft.com/kb/301240/ )

SQL - Gewusst wie: Implementieren formularbasierter Authentifizierung in einer ASP.NET-Anwendung mit c# .NET

308157

(http://support.microsoft.com/kb/308157/ )

SQL - Gewusst wie: Implementieren formularbasierter Authentifizierung in einer ASP.NET-Anwendung mit Visual Basic .NET

311495

(http://support.microsoft.com/kb/311495/ )

Gewusst wie: Implementieren rollenbasierter Sicherheit mit formularbasierter Authentifizierung in der ASP.NET Anwendung mithilfe von Visual c# .NET

306238

(http://support.microsoft.com/kb/306238/ )

Gewusst wie: Implementieren rollenbasierter Sicherheit mit formularbasierter Authentifizierung in einer ASP.NET-Anwendung mit Visual Basic .NET

312906

(http://support.microsoft.com/kb/312906/ )

Erstellen von Schl�sseln mithilfe von Visual c# .NET for Use in Forms Authentication

313091

(http://support.microsoft.com/kb/313091/ )

Erstellen von Schl�sseln mithilfe von Visual Basic .NET for Use in Forms Authentication

Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 813829 - Ge�ndert am: Donnerstag, 19. April 2007 - Version: 2.5

Die Informationen in diesem Artikel beziehen sich auf:

Microsoft ASP.NET 1.1

kbmt kbcookie kbwebforms kbauthentication kbsecurity kbconfig kbinfo KB813829 KbMtde

Maschinell �bersetzter Artikel

Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen �bersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden st�ndig erg�nzt beziehungsweise �berarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu k�nnen, werden viele Artikel nicht von Menschen, sondern von �bersetzungsprogrammen �bersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell �bersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdw�rtern sowie Fachbegriffen. Microsoft �bernimmt keine Gew�hr f�r die sprachliche Qualit�t oder die technische Richtigkeit der �bersetzungen und ist nicht f�r Probleme haftbar, die direkt oder indirekt durch �bersetzungsfehler oder die Verwendung der �bersetzten Inhalte durch Kunden entstehen k�nnten.

Den englischen Originalartikel k�nnen Sie �ber folgenden Link abrufen: 813829

(http://support.microsoft.com/kb/813829/en-us/ )

Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verf�gung. Microsoft �bernimmt keinerlei Gew�hrleistung daf�r, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erw�nschten Ergebnisse erzielen. Die Entscheidung dar�ber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung f�r Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Zum Anfang | Ihr Feedback an uns