Opções de autenticação para dispositivos móveis
Este tópico discute as opções de autenticação para páginas móveis do ASP.NET e controles.Ele aborda algumas complexidades de autenticação em dispositivos móveis e aborda esses métodos de autenticação:
Autenticação do Windows
Autenticação do Passport
Autenticação de formulários
Autenticação em dispositivos que não oferecem suporte a cookies
Autenticação do Windows
Serviços de Informações da Internet (Serviços de Informações da Internet), em conjunto com o ASP.NET, pode negociar a autenticação com base em baseado no Windows com o cliente Microsoft.Em um aplicativo não protegido (um no qual a autenticação será definida como anônimo), a identidade do usuário solicitante nunca é considerada.Em vez disso, a solicitação é executada usando uma conta padrão, conjunto durante a instalação do IIS.
Usando o Gerenciador dos serviços de Internet, você pode escolher entre os seguintes modelos de autenticação do Windows: Básica, Digest e integrada do Windows.Você pode configurá-los usando o snap-in Gerenciador de serviços de Internet para o Microsoft console de gerenciamento.IIS negocia credenciais com base nos quais métodos de autenticação aceita o navegador e os métodos de autenticação que estiverem ativados para o aplicativo.
Autenticação básica
Muitos dispositivos móveis no mercado hoje suporte somente a autenticação básica.A autenticação básica é o mecanismo de troca de credenciais suportados mais amplamente, mas, por si só, não é segura porque não há nenhuma criptografia.
.gif "Observação de cuidado") Cuidado: |
|---|
A autenticação básica transmitir s o nome de usuário e senhas em texto não desmarcar por padrão.Portanto, é recomendável que você use HTTPS para isso e Outros informações confidenciais. |
Autenticação do Passport
ASP.NET não oferece suporte usando a autenticação do Passport com dispositivos móveis.
Autenticação de formulários
Autenticação de formulários é uma parte da arquitetura do .NET estrutura que permite autenticar os usuários sem autenticação do IIS.A sequência geral de eventos é.
O cliente solicita uma página.
Se o usuário já não é autenticado, o navegador é redirecionado para um formulário de logon.
O cliente fornece as credenciais em um formulário remetida de volta para o servidor.
O aplicativo valida as credenciais.Se o usuário for validado, o aplicativo grava um tíquete de autenticação de formulários (cookie) para o cliente e redireciona para a página originalmente solicitada.
No solicitações subseqüentes, o cookie de autenticação é marcado e se for válida, a página solicitada é servida diretamente.
Etapa 4 cria um problema para alguns dispositivos que não oferecem suporte a cookies.The RedirectFromLoginPage método grava as informações de autenticação na seqüência de caracteres de consulta. Para evitar que o usuário que está sendo redirecionado para a página de logon para cada solicitação, sistema autônomo informações de autenticação podem ser apresentadas em cada solicitação sistema autônomo parte da seqüência de caracteres de consulta.O ASP.NET fornece um método para dados de transporte, sistema autônomo na seqüência de caracteres de consulta para URLs relativos.
Para obter um exemplo de como realizar a autenticação de formulários, consulte o MobileFormsAuthentication Visão geral da classe.
| Cuidado: |
|---|
Formulário de autenticação envia o nome de usuário e senha em texto não desmarcar por padrão.Por isso é recomendável que você use HTTPS para esta e outras informações confidenciais, e conjunto o requiresSSL atributo das <forms> elemento no arquivo Web.config.Se um dispositivo não oferece suporte a SSL diretamente ou através do gateway e tentar acessar uma página que requer o SSL, uma mensagem de erro aparecerá para o usuário. |
Autenticação em dispositivos que não suportam cookies
Modelos de autenticação de navegador geralmente usam cookies para controlar a autenticação do usuário.Muitos dispositivos móveis não oferecem suporte a cookies e, portanto, não podem autenticar, isso significa.
Fornecendo autenticação básica para a matriz mais ampla de dispositivos possíveis agrega valor para o desenvolvedor de dispositivos móveis.
Autenticação cookieless requer que um tíquete de autenticação ser acessados em outro local.Na autenticação de formulários, se o cookie não estiver presente, o módulo de autenticação ASP.NET verifica para ele na seqüência de caracteres de consulta.Para implementar isso, incluindo a ID de sessão na seqüência de caracteres de consulta.Isso requer a reconfiguração de todos os links em uma página para incluir o tíquete de autenticação condicionalmente com base nesses fatores:
O aplicativo é configurado para manter dados cookieless?Isso é determinado pela configuração do CookielessDataDictionary propriedade das IPageAdapter interface.
Este dispositivo requer autenticação cookieless?
.gif "Observação")
Observação:Não é possível configurar um dispositivo individual para autenticação cookieless.
The CookielessDataDictionaryType o atributo na <mobilecontrols> elemento deve ser conjunto para que a autenticação funcione corretamente em dispositivos cookieless, bem sistema autônomo em dispositivos que possuem o SupportsCookieWithRedirect atributo conjunto para false. Por padrão, a CookielessDataDictionaryType o atributo é conjunto para CookielessData no arquivo computador.config. Para substituir esse comportamento para um único aplicativo, você deve conjunto o CookielessDataDictionaryTypeatributo como uma seqüência de caracteres vazia ("").
Esteja ciente de que alguns dispositivos e navegadores atualmente requerem URLs totalmente qualificadas em resposta a um redirecionamento HTTP.conjunto o UseFullyQualifiedRedirectUrl atributo à true no <sistema.web> elemento do arquivo computador.config ou no arquivo Web.config (no nível do aplicativo).Para mais detalhes, consulte Redirecionando para uma página da Web móveis do ASP.NET.
Para obter recomendações de segurança, consulte Protegendo Aplicativos e Segurança de aplicativos da Web ASP.NET.
Consulte também
Conceitos
Criação de páginas Secure Web formulário móvel