博客园_晓风

实现基于 ASP.NET Forms 身份验证的跨子域单点登录

2010-03-14T13:54:00Z

对于跨应用程序的 ASP.NET Forms 身份验证，相信大家应该都不陌生，几年前很多文章都介绍了如何实现，比如 MSDN 的跨应用程序进行 Forms 身份验证，唐朝程序员的 ASP.NET站点跨子域名单点登陆（SSO）的实现，dudu 的关于二级域名Cookie的问题及解决方法。这个方案实际上利用了 cookie 可以跨子域共享，当前几乎所有主流器包括 IE6+/FF3/Opera9/Chrome 都支持此特性。但这些文章所介绍的都仅仅是“共享身份票据 cookie ”，而没有“共享登录中心”，也就是说，每个应用程序（站点）都具有自己的 login 实现，只是实现过程确保身份票据 cookie 具有相同的 domain 等属性。如此似乎没有实现完全意义上的 SSO，而且每个站点需要维护自己的登录验证代码，当然对于跨应用程序进行 Forms 身份验证提到的“网络场”这个问题不大，因为这些站点其实都是一份程序的副本而已。那么，假如我们希望实现像 Windows Live 一样只有一个统一的登录验证中心呢？比如我们规划了以下四个个站点：

http://www.ssolab01.leoworks.net	主站站点
http://news.ssolab01.leoworks.net	新闻频道
http://forum.ssolab01.leoworks.net	论坛社区
http://passport.ssolab01.leoworks.net	通行证中心

其中 http://passport.ssolab01.leoworks.net 作为通行证中心，只在该站点中的 http://passport.ssolab01.leoworks.net/login.aspx 实现登录验证逻辑。假如需要身份验证，其他站点则跳转这个站点进行验证，验证通过之后再跳转到原始请求连接。

大家肯定会觉得很简单，认为只要在子站点中的 web.config 将 forms 元素的 login 设置为 http://passport.ssolab01.leoworks.net/login.aspx 应就可以了，其实不然。没错，如果不用内置缺省 ASP.NET Forms 验证（通过 FormsAuthenticationModule），就像在 ASP/JSP/PHP 中，完全手动实现，逻辑上很清晰只是代码量问题。但是，一经 FormsAuthenticationModule 以及实用类 FormsAuthentication 包装与过滤，两个大问题就来了：

1. 支持重定向的 returnUrl 参数包含的是原始请求的相对路径，而不是包含站点主机的完整路径。这在同一个站点内没问题，但是跨站点的时候，登录成功就回不去了。

2. 当手动将 returnUrl 补上完整的主机路径，虽然登录成功，但竟然直接重定向到 http://passport.ssolab01.leoworks.net 。

搜索了半天终于发现解决方案：

对于问题2，比较容易，ASP.NET 2.0 已支持，只要在 forms 元素内设置 enableCrossAppRedirects="true" 。注意这只要在 passport 站点内设置即可，因为 passport 负责跳回原始请求。

passport 的 web.config

www 或 forum 的 web.config

对于问题1，需要手动检查用户是否有权限访问目标资源，如果没有重定向到 http://passport.ssolab01.leoworks.net/login.aspx 页面，并带上完整的原始请求地址作为 returnUrl 参数。检查的时机选择在 PostAuthenticateRequest 事件内。检查逻辑可使用 UrlAuthorizationModule.CheckUrlAccessForPrincipal 方法（注意 ASP.NET 2.0+ 支持）。可以单独写一个 HttpModule 或者直接放入 Global.asax 中。注意这只要在子站点中实现，passport 站点不需要，因为 passport 是站内跳转。

<%@ Application Language="C#" %>

附件是完整的测试示例，注意使用说明：

1. 建立 IIS 网站

在 IIS 中建立三个网站，主机头分别设为：

http://www.ssolab01.leoworks.net
http://forum.ssolab01.leoworks.net
http://passport.ssolab01.leoworks.net

目录分别指向：

Central
Forum
Passport

2. 解析 DNS
用记事本打开 C:\Windows\System32\drivers\etc\hosts 文件

添加三条记录

127.0.0.1    passport.ssolab01.leoworks.net
127.0.0.1    www.ssolab01.leoworks.net
127.0.0.1    forum.ssolab01.leoworks.net

本机使用 127.0.0.1 即可，若是局域网其他客户端的 hosts 则使用安装以上三网站的主机 IP 地址

下载

LeoLab.SSO.FormsAuthCrossSubdomain.zip (15.46 kb)

原文镜像：实现基于 ASP.NET Forms 身份验证的跨子域单点登录

本文链接

CSS + jQuery 实现的超 Sexy 下拉菜单

2010-01-14T23:30:00Z

早前发现了 Soh Tanaka 分享的非常 Sexy 的 Drop Down Menu w/ jQuery & CSS，稍作修改实现了多级下拉，并实现了 ASP.NET 中通过输出 HTML 动态创建版本，有兴趣的童鞋可以包装成 Server Control。如何实现Step 1 HTML<ul class="topmenu"> <li><a href="...

配置 IIS 7 显示详细错误信息

2010-01-14T17:29:00Z

如果你在 IIS 7 中只看到诸如 HTTP Error 500 - Internal Server Error (500 - 内部服务器错误) 的简单错误信息，那么可以通过如下步骤配置 IIS7 以输出详细错误信息。通过 IIS 配置按住 WIN + R 打开命令行输入 inetmgr 打开 IIS 管理左边目录选择目标站点，在右边 IIS 块中双击 Error Pages 在 Error...

错误：MMC 不能打开文件

2009-09-26T06:56:00Z

在 WIN2K3 R2 标准版 SP2 上安装完 SMTP/POP 服务之后，打开 POP3 Service 服务提示： MMC 不能打开文件 C:\WINDOWS\system32\p3server.msc。这可能是由于文件不存在，不是一个MMC控制台，或者用后来版本的MMC创建。也可能是由于您没有访问此文件的足够权限”。 MMC cannot open the file C:\WINDOWS...

TortoiseSVN 不显示图标

2009-08-28T07:02:00Z

如果你安装 TortoiseSVN 之后，功能使用正常，但是文件夹或文件左上角就是不显示图标，那么你可能 1. 64bit 系统上装了 32bit 的 TortoiseSVN 解决方法是，再安装 64bit 的 TortoiseSVN，两者可并行运行 2. Windows Explorer Shell 支持的 Overlay Icon 最多 15 个，Windows 自身使用了 4 个，只剩 11...

关于 VB.NET 中 Obsolete 特性的问题

2009-08-26T12:29:00Z

在 Visual Studio 2008 SP1 （包含）之前，如果你编译下面的代码，会得到 BC30668 错误，但同样的代码，VC# 一开始就没有这个问题。我想VC#是合理的，因为在调用堆栈上，如果所有的方法都标识为 Obsolete 也就不算错误了。 <Obsolete("This procedure has been obsoleted", True)> _ Public S...

Virtual Server 2005 R2 SP1 与 Windows 7 不兼容

2009-08-24T15:15:00Z

无法直接在 Windows 7 RTM 64bit 上安装 Virtual Server 2005 R2 SP1 64bit，Windows 服务程序 Virual Server 的执行文件 vssrvc.exe 被系统程序兼容性引擎阻止无法加载安装。即使选择以 Vista 或者 Server 2008 兼容模式运行也无效。google 到一个解决方案是：在组策略中，关闭程序兼容性引擎。WIN+R...

访问匿名方法块“外部”变量的需要注意的问题

2009-06-20T12:49:00Z

通常情况，下面的匿名方法执行没有问题 // Declare a delegate delegate void Callback(int arg); class TestClass { public static void Main() { int n = 10; Callback c = (m) => { System.Console.WriteLine("匿名方法块“外部”变量 n is ...

如何删除 MOSS 共享服务提供程序 (SSP, Shared Service Provider)

2009-04-25T10:34:00Z

在 MOSS 2007 管理中心站点找了半天也没有发现一个可以删除 SSP 的入口，难道不能删除？google 到这里 How to delete a default SSP (Shared Service Provider) in MOSS 2007 ，原来MS 又跟我们玩捉迷藏了：既可以用 Central Administration Site 删除，只是这个入口是隐藏的，也可以使用 sts...

如何编程动态创建 TreeView (WinForms版)

2009-04-19T09:54:00Z

其实动态创建 TreeView/Menu 是再简单不过的一件事了，如果你还记得汉诺塔递归这么一故事，你不应该不知道如何建树，如果你知道MSDN，你也不应该抱怨API不懂得用放在这里仅仅方便初学者参考而已，大虾可略过 ....Web 版本见：ASP.NET DEMO 15: 如何编程动态创建 TreeView[代码] 源码下载