Problembehandlung bei der Formularauthentifizierung

Wenn Sie in einer ASP.NET-Anwendung die Formularauthentifizierung verwenden, vielleicht Sie es erforderlich, ein Problem beheben, das auftritt, wenn der Benutzer nach dem Zufallsprinzip auf die Anmeldeseite umgeleitet wird. In einer idealen Welt würden dieses Problem auftreten in einer Weise, die ermöglichen würden Sie einfach einen Debugger anhängen und erfassen das Problem. In Produktionsumgebungen, jedoch ist dies selten der Fall. Um ein zufälliges Problem wie dieser zu beheben, müssen Sie sich Informationen über das Problem, dass Sie die Ursache eingrenzen können.

In dieser Spalte wird kurz das Konzept Formularauthentifizierung behandelt. Anschließend werden wir in führen, welche Szenarien an einen Benutzer zur Anmeldeseite umgeleitet wird und wie Sie Daten sammeln, mit dem Eingrenzen des Problems relevant sind. Auch besprochen zum Implementieren einer IHttpModule-Schnittstelle für die Formularauthentifizierung Informationen protokollieren.

Formulare Authentifizierung (Übersicht)

Wenn ein Benutzer zu einer Website mithilfe von Formularauthentifizierung authentifiziert, erstellt der Server ein Cookie. Der Wert des Cookies ist ein verschlüsseltes Formularauthentifizierungsticket. Das Cookie wird bei jeder Anforderung an die Anwendung an den Server übergeben und FormsAuthenticationModule -Klasse des Werts für Cookies entschlüsselt und bestimmt, ob der Benutzer gültig ist.

Standardmäßig FormsAuthenticationModule -Klasse wird in der Datei Machine.config hinzugefügt. FormsAuthenticationModule -Klasse verwaltet den FormsAuthentication-Prozess.

Im folgenden ist ein Eintrag aus der Datei Machine.config: ? sonstige Modules? der allgemeine HTTP-Verkehr für die Authentifizierung mithilfe von Formularauthentifizierung ähnelt der folgenden:

1. Der Client sendet eine HTTP GET zu default.aspx. Keine Formularauthentifizierungscookie wird gesendet.
2. Der Server sendet eine Antwort 302 (Redirect) auf Login.aspx.
3. Der Client sendet eine HTTP-POST an Login.aspx. Es enthält die Login-Informationen.
4. Der Server sendet eine Antwort 302 (Redirect) auf default.aspx. Das Formularauthentifizierungscookie ist enthalten.
5. Der Client sendet eine HTTP GET zu default.aspx. Dies umfasst das Formularauthentifizierungscookie.

Informationen über das Implementieren und Formularauthentifizierung verwenden finden Sie auf folgenden MSDN-Websites:Weitere Informationen zum Freigeben von Formularauthentifizierungscookies die folgenden ASP.NET-Website:

Gründe, dass ein Benutzer zu der Anmeldeseite umgeleitet werden kann

Das Formularauthentifizierungscookie geht verloren

1. Szenario

In diesem Szenario meldet ein Benutzer auf die Website. Irgendwann der Client sendet eine Anforderung an den Server, und die FormsAuthenticationModule -Klasse erhält keinen das Cookie. Sie können bestimmen Wenn Anforderung ein Benutzer durch Aktivieren von Cookies, die Protokollierung in Microsoft Internet Information Services (IIS) nicht das Cookie enthalten. Gehen Sie dazu folgendermaßen vor:

1. Öffnen Sie die IIS Microsoft Management Console (MMC).
2. Klicken Sie mit der rechten Maustaste auf die Website, und klicken Sie dann auf Eigenschaften .
3. Klicken Sie auf die Registerkarte Website , und klicken Sie dann auf Protokollierung aktivieren .
4. Stellen Sie sicher, dass das Protokollformat W3C Extended Log File Format ist.
5. Klicken Sie auf Eigenschaften .
6. Klicken Sie auf die Registerkarte Erweitert , und klicken Sie dann auf Erweiterte Eigenschaften .
7. Erweiterte Eigenschaften , aktivieren Sie unter das Kontrollkästchen Cookie(cs(Cookie)) und Referenz (cs(Referer)) das Kontrollkästchen.

Nachdem dieses Problem auftritt, ermitteln Sie, welcher Client das Problem und die Clientadresse hatte. Filter-IP-Adresse des Clients und Anzeigen der IIS-Anmeldung die < Cookies > Spalte.

Hinweis: Log Parser können Sie um die IIS-Protokolle zu analysieren. Log Parser downloaden, die folgenden Microsoft-Website: Nachdem Sie die Liste der Anforderungen von, dass bestimmte Benutzer haben, suchen Sie nach den Anforderungen an die Anmeldeseite. Sie wissen, dass Sie diese Seite umgeleitet wurden und Sie die Anforderungen anzuzeigen, bevor die Umleitung aufgetreten möchten. Wenn Sie etwas sehen ähnlich dem folgenden des Clients entweder keinen geschickt das Cookie oder das Cookie wurde im Netzwerk zwischen Client und Server entfernt.

Dies ist die erste Anmeldung. Dies sind andere Anforderungen, gefolgt von einer Anforderung auf eine Seite auf der Website ohne das Cookie ASPXAUTH.
Hinweis: Die erste Anforderung von Benutzer ist nicht wahrscheinlich ein Formularauthentifizierungscookie haben, wenn Sie ein persistentes Cookie erstellen. IIS-Protokoll werden Sie nur die Cookies angezeigt, die in der Anforderung empfangen wurden. Die erste Anforderung, das Formularauthentifizierungscookie wird bei der Anforderung nach einer erfolgreichen Anmeldung sein.

Szenario 2

Das Formularauthentifizierungscookie kann außerdem verloren, wenn der Client Cookies Grenzwert überschritten wird. In Microsoft Internet Explorer besteht eine Beschränkung von 20 Cookies. Nachdem das 20th Cookie auf dem Client erstellt wurde, werden vorherige Cookies aus des Clients Auflistung entfernt. Wenn das Cookie ASPXAUTH entfernt wird, wird der Benutzer bei der nächste Anforderung verarbeitet wird an die Anmeldeseite umgeleitet.

Sie können diese beiden Szenarien auf die gleiche Weise behandeln. Betrachten Sie die Anforderung vor der Umleitung zur Anmeldeseite. Wenn die Anforderung an diese Seite Cookies generiert, werden diese etwas zu untersuchen.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
Fiddler können Sie die HTTP-Header anzeigen, die an den Client gesendet werden. Nach der Aufzeichnung des Datenverkehrs doppelklicken Sie auf eine Anforderung, und klicken Sie auf Kopfzeilen den Set-Cookie-Header an. Wenn Sie eine erfolgreiche Anmeldung verfolgen, sehen Sie den Set-Cookie-Header in der Antwort eine erfolgreiche Anmeldung.

Um Fiddler zu downloaden, die folgenden Fiddler-Website:

Szenario 3

Nachdem die Anforderung des Clients verlässt, gibt es verschiedene Ebenen, die die Pakete auswirken können, die gesendet werden. Um festzustellen, wenn ein Netzwerkgerät, das Cookie entfernt wird, müssen Sie eine Netzwerkablaufverfolgung auf dem Client und dem Server erfasst, und suchen im Hauptteil der Anforderung für das Cookie. Betrachten Sie die Clientanforderung, um sicherzustellen, dass das Cookie gesendet wurde, und Überprüfen der Serverablaufverfolgung um sicherzustellen, dass der Server das Cookie empfangen möchten.

Clientanforderung

Eine GET-Anforderung ist nach Authentifizierung des Benutzers Die Authentifizierungsinformationen Ticket Formulare wird in Blau hervorgehoben. Dadurch wird bestätigt, dass die Cookieinformationen den Client verlassen. When you use a network capture tool, like Netmon, you see the traffic that actually went through the adapter.Server-side request

Wenn Sie die Anforderung, die den Server erreicht betrachten, sollten Sie sicherstellen, dass der Server die gleiche Informationen empfangen, die der Client gesendet. Wenn der Server die gleiche Informationen nicht erhalten haben, müssen Sie Untersuchen von anderen Geräten im Netzwerk bestimmen, in dem das Cookie entfernt wurde.

Hinweis: Es wurden auch Instanzen von ISAPI-Filter entfernen von Cookies. Wenn Sie bestätigen, dass der Server das Cookie empfangen, aber das Cookie nicht in die IIS-Protokolle aufgeführt ist, überprüfen Sie die ISAPI-Filter. Sie müssen möglicherweise zu entfernenden Filter, um festzustellen, ob das Problem behoben ist.

Timeout für das Formularauthentifizierungsticket

Die andere häufige Ursache für einen Benutzer umgeleitet werden ist, wenn das Formularauthentifizierungsticket abgelaufen ist. Das Formularauthentifizierungsticket können Timeout gibt es zwei Möglichkeiten. Das erste Szenario tritt auf, wenn Sie absolute Ablaufzeit verwenden. Mit absoluten Ablaufzeit läuft das Authentifizierungsticket ab, wenn die Gültigkeitsdauer abläuft. Z. B. ein Ablaufdatum von 20 Minuten festlegen und ein Benutzer besucht die Website, um 2: 00 Uhr. Wenn der Benutzer die Site nach 14: 20 besucht der Benutzer zur Anmeldeseite umgeleitet.

Wenn Sie die gleitende Ablaufzeit verwenden, ist das Szenario ein wenig komplizierter. Das Cookie und der resultierende Ticket werden aktualisiert, wenn der Benutzer die Website, besucht nachdem die Ablaufzeit Hälfte abgelaufen ist. Beispielsweise legen Sie ein Ablaufdatum von 20 Minuten mithilfe gleitende Ablaufzeit. Ein Benutzer besucht die Website, um 2: 00 Uhr, und der Benutzer erhält ein Cookie, das um 2: 20 Uhr ablaufen. Das Ablaufdatum wird nur aktualisiert, wenn der Benutzer die Site nach 14: 10 besucht. Wenn der Benutzer die Website um 2: 09 Uhr besucht, wird das Ticket nicht aktualisiert, da Hälfte der Ablaufzeitpunkt nicht bestanden hat. Wenn der Benutzer dann 12 Minuten der Website um 2: 21 Uhr wartet, wird das Ticket abgelaufen sein. Der Benutzer wird zur Anmeldeseite umgeleitet.

Eine Möglichkeit, Ansatz ist diese Art des Problems die Formulare Authentifizierung Cookie und Ticket-Informationen protokollieren. Auf diese Weise sehen Sie, wenn das Cookie empfangen wurde, von IIS und was die Werte sind. Hierzu können Sie ein HttpModule schreiben und dann das Modul in die Anforderungspipeline anschließen. Sie müssen nicht ändern Sie die Anwendung Code um benötigten Informationen zu erhalten.

Das angefügte Beispiel funktioniert in Microsoft .NET Framework 1.1 und .NET Framework 2.0 und verfügt über Kommentare in der gesamten. Das Beispiel enthält die folgenden Dateien:

• FormsAuthEvents.cs: Die Klasse, die IHttpModule implementiert und in das Ereignis Application_BeginRequest bindet.
• FormsAuthInfo.cs: Die Klasse, die das Cookie abgerufen und entschlüsselt das Formularauthentifizierungsticket. Außerdem überprüft Sie die Datei Web.config der Anwendung um sicherzustellen, die Formularauthentifizierung aktiviert ist.
• FormsAuthConfig.cs: Die Klasse, die Informationen aus der FormsAuthLogger.config-Datei liest.
• Log.cs: Die Datei, die akzeptiert einen Stringbuilder und schreibt die Werte in einer Protokolldatei.
• FormsAuthLogger.config: Die XML-Datei, die gelesen wird durch die Datei Log.cs. Diese Datei hat in den/bin-Ordner mit der DLL erstellt werden. Die Datei können Sie die folgenden Einstellungen konfigurieren:
  • Nach IP-Filtern: Sie können die Aufzeichnung der Daten vom Client-IP-Filtern. Auf diese Weise können Sie nur Anforderungen von einem Client anmelden, die zum Reproduzieren des Problems bekannt ist. Dies verringert die Größe des Protokolls.
  • Capture-Typ: dies an, wo die Datei zu speichern. Der Standardwert ist der Ordner Temporary ASP.NET Files, jedoch können speichern diese überall, solange die Arbeitsprozesskonto die Möglichkeit, den Ordner geschrieben hat.

Hinweis: Ich gebe einen Downloadlink für den Code in die Datei FormsAuthLogger.zip bereitgestellt.

Die Hauptbereiche hier werde hinweisen werden:

1. Erstellen Sie eine Klasse, die implementiert die IHttpModule -Schnittstelle.

   public class FormsAuthEvents : IHttpModule 
   {
   		?code?
   }

2. Verbinden Sie das Ereignis Sie ansehen möchten. In diesem Beispiel verwenden wir das Application_BeginRequest -Ereignis. Auf diese Weise jeder untersuchen können anfordern, die bestimmen, ob es das Formularauthentifizierungscookie verfügt und FormsAuthenticationTicket protokollieren, wenn das Cookie vorhanden.

   public void Init(HttpApplication application) 
   {
   	//Wire up the BeginRequest event
   	application.BeginRequest += (new EventHandler(this.Application_BeginRequest));
   }

3. Implementieren Sie das Application_BeginRequest -Ereignis.

   private void Application_BeginRequest(Object source, EventArgs e)
   {	
      ?code to log the ticket?
   }
   

4. Das Formularauthentifizierungscookie abrufen und dann zu entschlüsseln.
5. Melden Sie sich die Werte an. Es empfiehlt sich die folgenden hinaus Formulare Informationen protokollieren. Dadurch können Sie Ihre Authentifizierungsinformationen Formulare auf die IIS-Protokolle richten Sie bei Bedarf:
   • Datum: Ermöglicht Ihnen, angezeigt, wenn die Anforderung stammt.
   • RequestType: Zeigt an, ob die Anforderung einer Get oder eine POST ist.
   • URL: Zeigt das Muster der Anforderungen, die zu dem Problem.
   • Referenz
   • ClientIP: Verbindet in Anforderungen an einen bestimmten Client.