Forms身份認證在IE11下無法保存Cookie的問題

1. 網站根目錄下的Web.config添加authentication節點
代碼如下:

<authentication mode="Forms"> 
<forms name="MyAuth" loginUrl="manager/Login.aspx" defaultUrl="manager/default.aspx" protection="All" timeout="60" /> 
</authentication> 
 
2. 在manager子目錄下添加Web.config文件并加入下面的內容： 
 代碼如下:

<?xml version="1.0"?> 
<configuration> 
<system.web> 
<authorization> 
<allow roles="Admin" /> 
<deny users="*" /> 
</authorization> 
</system.web> 
</configuration> 
 
這樣，用戶在沒有Forms認證的情況下訪問manager子目錄下的任何頁面均會自動跳轉到manager/Login.aspx頁面。如果認證成功，則會默認回到manager/default.aspx頁面。認證有效期為60分鐘。 
3. 添加認證代碼。登錄按鈕中添加下面的代碼： 
 代碼如下:

if (!snCheckCode.CheckSN(txt_ValidateCode.Text)) 
{ 
snCheckCode.Create(); 
Utility.ShowMessage("校驗碼錯誤！"); 
return; 
} 
string strUserName = txt_Username.Text.Trim(); 
string md5Pwd = Helper.MD5ForPHP(Helper.MD5ForPHP(txt_Password.Text)); 
lc_admin admin = null; 
bool logined = false; 
using (var context = new dbEntities()) 
{ 
admin = context.tb_admin.Where(n => n.username == strUserName).FirstOrDefault(); 
if (admin != null) 
{ 
if (admin.checkadmin != "true") 
{ 
snCheckCode.Create(); 
Utility.ShowMessage("抱歉，該賬號被禁止登錄！"); 
return; 
} 
if (admin.password == md5Pwd) 
{ 
// Update Admin Info 
admin.loginip = Request.UserHostAddress.ToString(); 
admin.logintime = CndingUtility.DateTimeToUnixTimeStamp(DateTime.Now); 
context.SaveChanges(); 
logined = true; 
} 
} 
} 
if (logined) 
{ 
// Login 
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket( 
1, 
admin.id.ToString(), 
DateTime.Now, 
DateTime.Now.AddMinutes(60), 
false, 
"Admin", 
FormsAuthentication.FormsCookiePath 
); 
string hashTicket = FormsAuthentication.Encrypt(ticket); 
HttpCookie userCookie = new HttpCookie(FormsAuthentication.FormsCookieName, hashTicket); 
HttpContext.Current.Response.Cookies.Add(userCookie); 
if (Request["ReturnUrl"] != null) 
{ 
Response.Redirect(HttpUtility.HtmlDecode(Request["ReturnUrl"])); 
} 
else 
{ 
Response.Redirect("/manager/default.aspx"); 
} 
} 
else 
{ 
snCheckCode.Create(); 
CndingUtility.ShowMessage("用戶名或密碼不正確！"); 
} 
 
MD5加密代碼： 
 代碼如下:

public static string MD5ForPHP(string stringToHash) 
{ 
var md5 = new System.Security.Cryptography.MD5CryptoServiceProvider(); 
byte[] emailBytes = Encoding.UTF8.GetBytes(stringToHash.ToLower()); 
byte[] hashedEmailBytes = md5.ComputeHash(emailBytes); 
StringBuilder sb = new StringBuilder(); 
foreach (var b in hashedEmailBytes) 
{ 
sb.Append(b.ToString("x2").ToLower()); 
} 
return sb.ToString(); 
} 
 
認證成功后默認會將用戶登錄信息以Cookie的形式存放到客戶端，有效期為60分鐘。UserData被設置為用戶的角色，在判斷用戶是否登錄時會用到。如下面的代碼： 
 代碼如下:

if (HttpContext.Current.User.Identity.IsAuthenticated) 
{ 
int adminId = -1; 
FormsIdentity identity = (FormsIdentity)HttpContext.Current.User.Identity; 
FormsAuthenticationTicket ticket = identity.Ticket; 
string userData = ticket.UserData; 
if (userData == "Admin") 
{ 
// To do something 
} 
} 
 
上述代碼在Visual Studio中運行一切正常！但是將網站發布到服務器的IIS （可能會是較低版本的IIS，如IIS 6）后，發現登錄功能異常。輸入用戶名和密碼后點擊登錄按鈕，頁面postback但并不能正確跳轉，嘗試手動訪問受保護的頁面會被自動跳轉回登錄頁面。更奇怪的是該問題只出現在IE11瀏覽器上，嘗試用Firefox或Chrome訪問登錄功能運行正常。初步懷疑是IIS設置的問題，可是IIS 6上并沒有與Cookie相關的設置，好像記得IIS 7上倒是有這個設置。但因為只有IE 11存在該問題，所以可以否定代碼本身存在任何問題。 
此外，還嘗試了降低IE 11的安全級別，重新安裝服務器上的.net framework以及下載最新的補丁等等，均不能解決問題。后來發現其實只需要簡單修改Web.config中authentication節點的設置就可以了，給forms添加cookieless="UseCookies"屬性即可。 
 代碼如下:

<authentication mode="Forms"> 
<forms name="MyAuth" cookieless="UseCookies" loginUrl="manager/Login.aspx" defaultUrl="manager/default.aspx" protection="All" timeout="60" /> 
</authentication> 
 
用以明確告訴服務器使用Cookie來保存用戶驗證信息。問題解決！
 
 




聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com