情報: セキュリティで保護されたソケット レイヤー (SSL) を使用して、フォーム認証をセキュリティで保護を支援します。

文書翻訳 文書翻訳
文書番号: 813829
この資料について説明します、次の Microsoft。NET Framework クラス ライブラリの名前空間。
  • System.Web.Security
すべて展開する | すべて折りたたむ

目次

概要

既定では、フォームを含む cookie認証チケットはいない保護でフォーム認証を使用すると、Microsoft ASP。NET Web アプリケーションです。セキュリティで保護する方法を説明しますフォーム認証を使用してセキュリティで保護されたソケット レイヤー (SSL) を使用します。次の資料も実装の他のオプションとセキュリティで保護するための代替方法について説明します。フォーム認証します。

詳細

フォーム ベース認証では、ASP です。Netアプリケーションが独自のログオン インターフェイスを提供することができますサービスされカスタムの資格情報検証を実行します。フォーム認証では、asp です。NETユーザーを認証し、認証されていないユーザーは、ログオンするには、リダイレクト指定されているページに loginUrl 属性の <forms></forms> Web.config ファイル内の要素。資格情報を提供する場合ログオン フォームでは、アプリケーションが要求を認証して、その後、システムの問題、 FormsAuthenticationTicket cookie の形式でクラスです。は、 FormsAuthenticationTicket クラスは、以降の Web への応答で cookie として渡される認証されたクライアントからの要求。

フォーム認証柔軟な手段を提供、認証、慎重にいくつか考慮しなければなりません。ASP を保護する際の重要な問題NET アプリケーションです。する必要があります。資格情報であるために、SSL を使用して、最初のログオン資格情報を保護します。サーバーにプレーン テキストとして送信します。また、保護することを確認する必要があります。フォーム認証チケットを含む cookie。これを行うには、SSL を使用します。チケットを保護するためにすべてのページにします。暗号化する代わりと、設定することによって、認証チケットを形成、 保護 属性の <forms></forms> 要素 すべて または 暗号化 使用して、Web.config ファイルで、 暗号化 メソッドは、 FormsAuthentication チケットを暗号化するためにクラスです。詳細については、 暗号化 メソッドは、 FormsAuthentication クラスは参照してください、""この資料の「。

フォーム認証の利点

  • フォーム認証をサポートしている認証に対して、Microsoft SQL Server データベースや Active Directory などのカスタム データ ストアディレクトリ サービスです。詳細についてを参照してください、"参照"この資料の「。
  • ロールベースの認証にフォーム認証をサポートしています。データ ストアからロールのルックアップ。
  • フォーム認証は、web サイトをスムーズに統合されてユーザー ・ インタ フェース。詳細についてを参照してください、"参照"この資料の「。
  • ASP。NET 豊富なインフラストラクチャが用意されています。比較的ほとんどのコードが Microsoft Active Server Pages のバージョンと比較して必要です。3.0 とそれ以前の.
  • ASP。Microsoft NET フォームの認証は必要ありません。インターネット エクスプ ローラー。フォーム認証は、全体の Web ブラウザーをサポートしています。クライアントです。

させることのフォーム認証をセキュリティで保護する方法

  • すべてのページで SSL を使用します。
  • 使用して、 暗号化 メソッドは、 FormsAuthentication クラスです。

すべてのページで SSL を使用します。

認証 cookie を安全に保つことを確認してくださいヘルプします。クライアント ブラウザー セッション全体で SSL 暗号化を使用してセキュリティで保護するにはすべてのページに安全にアクセスします。アプリケーションは、SSL 暗号化を使用して、ユーザーと認証 cookie を損なうことから防ぐその他の貴重な情報を送信します。

値の設定、 requireSSL プロパティ true Web.config ファイルにします。Cookie の場合これで SSL を設定します。ブラウザーに送信します。値を設定しないと requireSSL するには true、フォームが例外をスローまたは認証されていない、cookie。

requireSSL 設定されています。 trueは、暗号化された接続の資格情報を保護することができます、ユーザー、および ASP。NET のセットは HttpCookie.Secure 認証 cookie のプロパティです。対応ブラウザーSSL 接続を使用する場合、cookie が返されません。次に、例は、アプリケーションの Web.config ファイルでこれを行う方法を示しています。
 <configuration>
 <system.web>
   <authentication mode="Forms">
     <forms name=".ASPXAUTH"
       loginUrl="login.aspx" 
       protection="All"
       timeout="20"
       requireSSL="true">
     </forms>
   </authentication > 
   <authorization>
     <deny users="?" />
   </authorization>
 </system.web>
</configuration>
次の使用例は、アクションを実行するを送信するのには、cookie が設定されている場合安全にします。

Visual C#。NET コード
 string cookieName = FormsAuthentication.FormsCookieName.ToString(); 
 HttpCookie MyCookie = Context.Request.Cookies[cookieName];

 if (MyCookie.Secure)
 {
      Response.Write("The cookie is secure with SSL.");
      // Add other required code here.
 } 

Visual Basic。NET コード
   Dim cookieName As String = FormsAuthentication.FormsCookieName.ToString
   Dim MyCookie As HttpCookie = Context.Request.Cookies(cookieName)
   If MyCookie.Secure Then
      Response.Write("The cookie is secure with SSL.")
      ' Add other required code here.
   End If

使用は、FormsAuthentication のメソッドを暗号化します。クラス

のみ SSL 初期ログオン Web ページを暗号化するために使用する場合は、資格情報の認証を渡されたことを確認フォーム認証チケットを cookie に格納されている保護されています。フォーム間では、cookie が渡されるために、認証チケットを保護しなければなりませんクライアントとサーバーで 2 回目以降の各 Web 要求します。フォームを暗号化するには認証チケットの構成、 保護 属性の <forms></forms> 要素を使い、 暗号化 メソッドは、 FormsAuthentication チケットを暗号化するためにクラスです。
<authentication mode="Forms">
  <forms name="MyAppFormsAuth"
       loginUrl="login.aspx"
       protection="All"
       timeout="20" 
       path="/" >
  </forms>
</authentication> 
ので、 保護 属性を設定するのには すべて、アプリケーションを呼び出すと、 FormsAuthentication.Encrypt メソッドは、チケットを検証する必要があり、します。暗号化。

呼び出して、 暗号化 メソッドをフォーム認証チケットを作成するとします。、通常のチケットを作成する、 ログイン イベント ハンドラーは、アプリケーションです。

Visual C#。NET コード
string encryptedTicket = FormsAuthentication.Encrypt(authTicket);
Visual Basic。NET コード
Dim encryptedTicket As String = FormsAuthentication.Encrypt(authTicket)

関連情報

ASP の詳細については。NET およびフォームの認証次のマイクロソフト Web サイトを参照してください。
ASP で認証します。NET: します。NET のセキュリティガイダンス
http://msdn2.microsoft.com/en-us/library/ms978378.aspx
フォーム認証プロバイダー
.aspx の http://msdn2.microsoft.com/en-us/library/9wff0kyh (vs.71)
詳細についてはSSL を使用してフォーム認証をセキュリティで保護するについて、次の資料をクリックします。数値は、マイクロソフト サポート技術記事を表示するのには:
306590情報: ASP。NET のセキュリティの概要
315588 方法:ASP のセキュリティを保護します。クライアント側の証明書を使用して Net
313116 PRB: フォーム認証要求が loginUrl] ページに表示されません。
324069 HOW TO、HTTPS サービスを IIS を設定します。
326340 広告 - ハウツー解説: フォーム認証および Visual Basic を使用して、Active Directory に対しての認証。NET
301240 SQL - をする方法。ASP のフォーム ベースの認証を実装します。C# を使用して Net.NET
308157 SQL - ハウツー解説: asp のフォーム ベースの認証を実装します。NET アプリケーションを使用して、Visual Basic を使用します。NET
311495 方法:ASP のフォーム ベースの認証にロール ベースのセキュリティを実装します。NETVisual C# を使用してアプリケーションを指定します。NET
306238 HOW TO をロールベースの実装では、ASP のフォーム ベースの認証によるセキュリティ。NET アプリケーションを使用して、Visual Basic を使用します。NET
312906 方法:キーを作成するには、Visual C# を使用します。NET を使用してフォーム認証
313091 方法:キーを作成するには、Visual Basic を使用します。フォームでの使用の NET認証

プロパティ

文書番号: 813829 - 最終更新日: 2011年7月28日 - リビジョン: 4.0
キーワード:?
kbinfo kbwebforms kbsecurity kbconfig kbauthentication kbcookie kbmt KB813829 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:813829
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com