ASP.NET 2.0 中的窗体身份验证

　　302 Found Location:

　　http://localhost/FormsAuthTest/login.aspx?RETURNURL=%2fFormAuthTest%2fDefault.aspx

　　•浏览器请求 Login.aspx 页，并在查询字符串中包括 RETURNURL 参数。

　　•服务器返回登录页以及 200 OK HTTP 状态代码。

　　•用户在登录页输入凭据，并将该页(包括来自查询字符串的 RETURNURL 参数)发送回服务器。

　　•服务器根据某个存储(如 SQL Server 数据库或 Active Directory 用户存储)验证用户凭据。登录页中的代码创建一个包含为该会话设置的窗体身份验证票的 Cookie。

　　在 ASP.NET 2.0 中，可以通过成员身份系统执行对用户凭据的验证。Membership 类为此提供了 ValidateUser 方法，如下所示：

　　注 使用 Login Web 服务器控件时，它自动为您执行以下步骤。下文使用了前面提供的代码。

　　•对于经过身份验证的用户，服务器将浏览器重定向到查询字符串中的 RETURNURL 参数指定的原始 URL。服务器 HTTP 应答如下所示：

　　302 Found Location:

　　http://localhost/TestSample/default.aspx

　　•重定向之后，浏览器再次请求 Default.aspx 页。该请求包括身份验证 Cookie。

　　•FormsAuthenticationModule 类检测窗体身份验证 Cookie 并对用户进行身份验证。身份验证成功后，FormsAuthenticationModule 类使用有关经过身份验证的用户的信息填充当前的 User 属性(由 HttpContext 对象公开)。

　　•由于服务器已经验证了身份验证 Cookie，因此它允许访问并返回 Default.aspx 页。

　　FormsAuthenticationModule

　　ASP.NET 2.0 在计算机级 Web.config 文件中定义了一组 HTTP 模块，包括大量身份验证模块，如下所示：

<httpModules>
  ...
  <add name="WindowsAuthentication"
       type="System.Web.Security.WindowsAuthenticationModule" />
  <add name="FormsAuthentication" 
       type="System.Web.Security.FormsAuthenticationModule" />
  <add name="PassportAuthentication" 
       type="System.Web.Security.PassportAuthenticationModule" />
  ...
</httpModules>

　　每个请求只能使用一个身份验证模块。所使用的身份验证模块取决于 authentication 元素(通常位于应用程序的虚拟目录中的 Web.config 文件中)指定了哪种身份验证模式。

　　当 Web.config 文件中包含以下元素时，激活 FormsAuthenticationModule 类。