ASP.NET 2.0中的窗体身份验证

以下文本显示了当 protection 属性设置为 All 时使用的过程：

• 创建序列化窗体身份验证票。创建票证的字节数组表示形式。
• 对窗体身份验证票进行签名。字节数组的消息身份验证代码 (MAC) 的值，由使用 machineKey 元素的 validation 和 validationKey 属性指定的算法和密钥进行计算。默认情况下，使用 SHA1 算法。
• 对窗体身份验证票进行加密。已经创建的第二个字节数组使用 FormsAuthentication 类的 Encrypt 方法进行加密。该 Encrypt 方法在内部使用由 machineKey 元素上的 decryption 和 decryptionKey 属性指定的算法和密钥。ASP.NET 1.1 版在默认情况下使用 3DES 算法。ASP.NET 2.0 版在默认情况下使用 Rinjdael (AES) 算法。
• 根据需要创建 HTTP Cookie 或查询字符串。然后，如果窗体身份验证针对 cookieless 身份验证进行了配置，则加密的身份验证票添加到 HttpCookie 对象。使用以下代码创建该 Cookie 对象：

HttpCookie authCookie = new HttpCookie(
　　　　　　　　　　　　　　FormsAuthentication.FormsCookieName,
　　　　　　　　　　　　　　encryptedTicket);

• 将窗体身份验证Cookie 设置为安全的。如果窗体身份验证票配置为使用 SSL，则 HttpCookie.Secure 属性设置为 true。这表明浏览器仅通过 HTTPS 连接发送 Cookie。

authCookie.Secure = true;

• 设置 HttpOnly 位。在 ASP.NET 2.0 中，始终设置该位。
• 设置适当的 Cookie 属性。如果需要，设置 Cookie 的 path、domain 和 expires 属性。
• 将 Cookie 添加到 Cookie 集合。将身份验证 Cookie 添加到要返回给客户端浏览器的 Cookie 集合。

Response.Cookies.Add(authCookie);

每次在身份验证之后接收一个后续请求时，FormsAuthenticationModule 类都会从身份验证 Cookie 中检索身份验证票，对其进行解密，计算哈希值，并比较该 MAC 值，以帮助确保该 Cookie 未被篡改。最后，验证该窗体身份验证票中包含的到期时间。

注 ASP.NET 并不依赖于 Cookie 的到期日期，因为该时间很容易伪造。
角色授权

在 ASP.NET 2.0 中，角色授权已经得到简化。对用户进行身份验证或者将角色细节添加到身份验证 Cookie 时，不再需要检索角色信息。.NET Framework 2.0 包括一个角色管理 API，它使您能够创建和删除角色，将用户添加到角色以及从角色删除用户。该角色管理 API 将其数据存储在一个基础数据存储中，它通过针对该数据存储的适当角色提供程序访问该存储。以下角色提供程序为 .NET Framework 2.0 附带，可以与窗体身份验证一起使用：

• SQL Server。它是默认的提供程序，将角色信息存储在 SQL Server 数据库。
• 授权管理器 (AzMan)。该