Elemento <forms>
Configura una aplicación de ASP.NET para usar una autenticación personalizada basada en formularios.
<configuration>
<system.web>
<authentication>
<forms>
<forms name="name" loginUrl="url"protection="All|None|Encryption|Validation"timeout="30" path="/" requireSSL="true|false" slidingExpiration="true|false"> <credentials passwordFormat="format"/></forms>
Atributos opcionales
| Atributo | Opción | Descripción |
|---|---|---|
| name | Especifica la cookie HTTP utilizada para la autenticación. De forma predeterminada, el valor de name es .ASPXAUTH. Si se ejecutan varias aplicaciones en un mismo servidor y cada una requiere una cookie única, debe configurar el nombre de la cookie en el archivo Web.config de cada aplicación. | |
| loginUrl | Especifica la dirección URL a la que debe redirigirse la solicitud de inicio de sesión si no se encuentra ninguna cookie de autenticación válida. El valor predeterminado es default.aspx. | |
| protection | Si se ha utilizado algún tipo de cifrado, especifica el empleado para las cookies. | |
| All | Especifica que la aplicación utiliza validación de datos y cifrado para proteger la cookie. Esta opción utiliza el algoritmo de validación de datos configurado (basado en el elemento <machineKey>). Para el cifrado se utiliza Triple DES (3DES), si está disponible y si la clave tiene una longitud suficiente (al menos 48 bytes). All es el valor predeterminado (y recomendado). | |
| None | Especifica que tanto el cifrado como la validación están deshabilitados para aquellos sitios que utilizan cookies sólo para personalización y que tienen requisitos de seguridad menos estrictos. No se recomienda utilizar cookies de esta manera; no obstante, es el método que menos recursos utiliza para habilitar la personalización mediante .NET Framework. | |
| Encryption | Especifica que las cookies se cifran con Triple-DES o DES, pero no se realiza la validación de los datos de la cookie. Las cookies empleadas de esta manera pueden sufrir ataques en el texto sin formato. | |
| Validation | Especifica que un esquema de validación compruebe que el contenido de una cookie cifrada no ha sido alterado durante el trayecto. La cookie se crea con validación de cookies al concatenar una clave de validación a los datos de la cookie, calcular un código de autenticación de mensajes (MAC) y anexar este código a la cookie saliente. | |
| timeout | Especifica el intervalo de tiempo, en minutos enteros, transcurrido el cual la cookie caduca. El valor predeterminado es 30. Si el valor del atributo SlidingExpiration es true, el atributo timeout es un valor transitorio, que caduca cuando transcurre el número de minutos especificado, contados a partir de la recepción de la última solicitud. Para evitar problemas de rendimiento y que aparezcan numerosas advertencias del explorador a los usuarios que tengan activadas las advertencias de cookies, la cookie se actualiza cuando ha transcurrido más de la mitad del tiempo especificado. En consecuencia, la precisión puede verse disminuida. Las cookies persistentes no tienen tiempo de espera. | |
| path | Especifica la ruta de acceso de las cookies emitidas por la aplicación. El valor predeterminado es una barra diagonal (/), ya que la mayor parte de los exploradores distinguen mayúsculas y minúsculas, y no enviarán cookies si hay una discrepancia de este tipo en la ruta de acceso. | |
| requireSSL | Especifica si se requiere una conexión segura para transmitir la cookie de autenticación. | |
| true | Especifica que se requiere una conexión segura para proteger las credenciales del usuario. Si es true, ASP.NET establece HttpCookie.Secure para la cookie de autenticación y los exploradores compatibles no devuelven la cookie a no ser que la conexión utilice SSL (Secure Sockets Layer, Nivel de sockets seguro). | |
| false | Especifica que no se requiere una conexión segura para transmitir la cookie. El valor predeterminado es false. | |
| slidingExpiration | Especifica si el plazo de caducidad está habilitado. Este plazo restablece el tiempo de que dispone una cookie de autenticación activa hasta su caducidad en cada solicitud realizada durante una sesión. | |
| true | Especifica que el plazo de caducidad está habilitado. La cookie de autenticación se actualiza y el tiempo hasta la caducidad se restablece para las peticiones siguientes realizadas en la misma sesión. El valor predeterminado para la versión 1.0 de ASP.NET era true. | |
| false | Especifica que el plazo de caducidad no está habilitado y que, por tanto, la cookie caduca en un intervalo de tiempo fijado, a partir del momento en que se emitió originalmente. El valor predeterminado es false. |
Subetiqueta
| Subetiqueta | Descripción |
|---|---|
| <credentials> | Permite la definición de las credenciales de nombre y contraseña en el archivo de configuración. También puede implementar un esquema personalizado de contraseñas que use un origen externo, por ejemplo una base de datos, para controlar la validación. |
Comentarios
Si se ejecutan varias aplicaciones en un mismo servidor, los atributos <forms> se deben configurar en el archivo Web.config de cada aplicación.
Ejemplo
En el ejemplo siguiente se configura un sitio para la autenticación basada en formularios, se especifica el nombre de la cookie que transmite la información de inicio de sesión desde el cliente y se especifica el nombre de la página de inicio de sesión que debe utilizarse si se produce un error en la autenticación inicial.
<configuration>
<system.web>
<authentication mode="Forms">
<forms name="401kApp" loginUrl="/login.aspx">
<credentials passwordFormat = "SHA1"
<user name="UserName"
password="07B7F3EE06F278DB966BE960E7CBBD103DF30CA6"/>
</credentials>
</forms>
</authentication>
</system.web>
</configuration>
Requisitos
Contenido dentro de: <system.web>
Plataforma Web: IIS 5.0, IIS 5.1, IIS 6.0
Archivo de configuración: Machine.config, Web.config
Controlador de la sección de configuración: System.Web.Configuration.AuthenticationConfigHandler
Vea también
Elemento <authentication> | Configuración de ASP.NET | Esquema de configuración de ASP.NET