Fluxo de controle de autenticação de formulários

Artigo
10/15/2014

O fluxo de controle para autenticação de formulários ASP.NET é mostrado na tabela a seguir.

Operação HTTP e o navegador	Resposta do servidor
Solicita um recurso protegido de um servidor.A operação HTTP é: `GET /default.aspx`	Se não houver nenhum cookie de autenticação, redireciona a solicitação para uma página de logon para coletar credenciais.Informação sobre a página de origem é colocada na sequência de consulta usando RETURNURL como a chave.A resposta do servidor HTTP é: `302 Found Location: http://samples.microsoft.com/logon.aspx?RETURNURL=/default.aspx`
Segue o redirecionamento para a página de logon.A operação HTTP é: `GET /logon.aspx?RETURNURL=/default.aspx`	Retorna a página de logon.Para segurança, recomendamos você usar Secure Sockets Layer (SSL) para a página de logon para manter as credenciais do usuário que estão sendo enviadas em texto não criptografado.A resposta do servidor HTTP é: `200 OK`
Após o usuário inserir as credenciais na página de logon, envia a página.A operação HTTP é: `POST /logon.aspx?RETURNURL=/default.aspx`	Valida as credenciais do usuário e, se as credenciais são autenticadas, redireciona o navegador para a URL original especificado na caixa QueryString como a variável RETURNURL.Por padrão, a permissão de autenticação é emitida como um cookie. Observação: Você pode especificar que o tíquete de autenticação seja incluído na URL em vez de um cookie, usando a propriedade CookieMode. A resposta do servidor HTTP é: `302 Found Location: /default.aspx`
Segue o redirecionamento e solicita o recurso original novamente.A operação HTTP é: `GET /default.aspx`	Se o usuário é autenticado, concede acesso e concede o cookie de autenticação, que contém uma permissão de autenticação.Solicitações futuras pela mesma sessão do navegador serão autenticadas quando o módulo inspecionar o cookie.É possível criar um cookie persistente que pode ser usado para futuras sessões, mas somente até a data de validade do cookie.A resposta do servidor HTTP é: `200 OK Set-Cookie: ASPXTICKET=ABCDEFG12345;Path=/` Observe que o caminho do cookie é definido como /.Como os nomes dos cookies diferenciam maiúsculas de minúsculas, isso previne inconsistências em URLs no site.Por exemplo, se o caminho foi definido como /SavingsPlan e um link conter /savingsplan, o usuário seria forçado a autenticar novamente porque o navegador não enviará o cookie.

Operação HTTP e o navegador

Resposta do servidor

Solicita um recurso protegido de um servidor.A operação HTTP é:

GET /default.aspx

Se não houver nenhum cookie de autenticação, redireciona a solicitação para uma página de logon para coletar credenciais.Informação sobre a página de origem é colocada na sequência de consulta usando RETURNURL como a chave.A resposta do servidor HTTP é:

302 Found
Location: http://samples.microsoft.com/logon.aspx?RETURNURL=/default.aspx

Segue o redirecionamento para a página de logon.A operação HTTP é:

GET /logon.aspx?RETURNURL=/default.aspx

Retorna a página de logon.Para segurança, recomendamos você usar Secure Sockets Layer (SSL) para a página de logon para manter as credenciais do usuário que estão sendo enviadas em texto não criptografado.A resposta do servidor HTTP é:

200 OK

Após o usuário inserir as credenciais na página de logon, envia a página.A operação HTTP é:

POST /logon.aspx?RETURNURL=/default.aspx

Valida as credenciais do usuário e, se as credenciais são autenticadas, redireciona o navegador para a URL original especificado na caixa QueryString como a variável RETURNURL.Por padrão, a permissão de autenticação é emitida como um cookie.

Observação:

Você pode especificar que o tíquete de autenticação seja incluído na URL em vez de um cookie, usando a propriedade CookieMode.

A resposta do servidor HTTP é:

302 Found
Location: /default.aspx

Segue o redirecionamento e solicita o recurso original novamente.A operação HTTP é:

GET /default.aspx

Se o usuário é autenticado, concede acesso e concede o cookie de autenticação, que contém uma permissão de autenticação.Solicitações futuras pela mesma sessão do navegador serão autenticadas quando o módulo inspecionar o cookie.É possível criar um cookie persistente que pode ser usado para futuras sessões, mas somente até a data de validade do cookie.A resposta do servidor HTTP é:

200 OK
Set-Cookie: ASPXTICKET=ABCDEFG12345;Path=/

Observe que o caminho do cookie é definido como /.Como os nomes dos cookies diferenciam maiúsculas de minúsculas, isso previne inconsistências em URLs no site.Por exemplo, se o caminho foi definido como /SavingsPlan e um link conter /savingsplan, o usuário seria forçado a autenticar novamente porque o navegador não enviará o cookie.

Consulte também

Outros recursos

Segurança de aplicativos da Web ASP.NET

Provedor de Autenticação de Formulários

Partilhar via

Fluxo de controle de autenticação de formulários

Consulte também

Outros recursos

Recursos adicionais