• ASP.NET FormsAuthentication跨站点登录时绝对地址返回的问题


     

    在ASP.NET应用程序中,FormsAuthentication几乎是标配,但FormsAuthentication在设计时却没有考虑登录程序与当前程序不在同一个站点的场景。这个场景最基本的需求就是去另一个站点登录成功后返回要原地。可是FormsAuthentication在传递ReturnUrl时只支持相对路径,不支持绝对地址,也没有提供相应的扩展。

    比如我们在admin.cnblogs.com站点的web.config中进行了如下的FormsAuthentication设置:


    访问admin.cnblogs.cc/Home/Index,会被重定向至passport.cnblogs.com/login.aspx?ReturnUrl=%2fHome%2fIndex,这样登录后就回不来了。

    那如何解决这个问题呢?

    目前找到了三种方法:

    方法一:在当前应用程序添加一个登录跳板页,web.config中的loginUrl指向该跳板,在跳板中获取ReturnUrl的绝对地址,再重定向至实际登录页面。

    比如在ASP.NET MVC中,我们可以用一个Controller的Action作为跳板,代码如下:

    然后将web.config中的loginUrl指向该Action。

    该方法的缺点是要进行两次重定向。

    方法二:在Global.asax的Application_PostAuthenticateRequest事件中将ReturnUrl设置为绝对地址,并重定向至登录页面。

    代码如下(代码来自http://forums.asp.net/t/1358796.aspx):

    方法三:在Global.asax的Application_EndRequest事件中修改Response.RedirectLocation,将ReturnUrl的替换为绝对地址。

    代码如下(代码来自David Findley's Blog):


    该方法的缺点是要针对所有重定向的URL进行处理,不仅仅是登录。

    我们选用的是第二种方法。你是如何解决这个问题的?有没有更好的方法?

    这个问题完全归咎于FormsAuthentication的设计问题,当时遇到这个问题,都不敢相信微软没考虑到这个,然后看了一下FormsAuthentication的代码,真是无语。。。

    从中得到的启示:糟糕的设计会被很多人骂很多年,而优秀的设计会流芳百世。

  • 相关阅读:
    Spring依赖注入的方式、类型、Bean的作用域、自动注入、在Spring配置文件中引入属性文件
    RESTful风格、异常处理、Spring框架
    文件上传、数据校验(后台)、拦截器
    接收的参数为日期类型、controller控制层进行数据保存、进行重定向跳转
    SpringMVC入门Demo
    Mybatis入门Demo(单表的增删改查)
    Spring
    spring的exception
    restful风格
    Java后台验证
  • 原文地址:https://www.cnblogs.com/bdstjk/p/2519885.html
Copyright © 2020-2023  润新知