Pro ASP.NET 2.0 C#

Конфигурация <authentication/> ограничена только файлом web.config верхнего уровня приложения. Если атрибут mode установлен в Forms, то ASP.NET загружает и активизирует модуль FormsAuthenticationModuile, который выполнит большую часть работы. Приведенная выше конфигурация в основном использует установки по умолчанию для аутентификации форм, которые жестко закодированы в исполняющей системе ASP.NET. Вы можете переопределить эти настройки по умолчанию, добавив установки в раздел <system.web> файла machine.config. Кроме того, вы можете переопределить эти настройки, установив свои в дочернем дескрипторе <forms/> этого раздела. Следующий фрагмент кода показывает полный набор опций дескриптора forms:

Здесь свойства перечислены в том порядке, в котором вы будете использовать их в большинстве случаев. В табл. 20.2 описаны подробности этих свойств и их настройки по умолчанию.

Как показано, в табл. 20.2, можно отключать проверку достоверности и шифрование сооkiе-наборов. Однако было бы резонно спросить — зачем вам может понадобиться отключать эту защиту? Единственный случай, в котором можно принять такое решение — это когда вы не аутентифицируете пользователей для обеспечения безопасности, а только идентифицируете их для персонализации. В таких случаях действительно не имеет значения, если пользователь, представится другим пользователем, так что вы можете решить, что накладные расходы, связанные с шифрованием, дешифрацией и проверкой достоверности cookie-наборов аутентификации нанесет ущерб производительности, не предоставляя никаких выгод. Однако прежде чем избрать такой подход, стоит тщательно подумать, потому что его применение оправдано лишь в тех случаях, когда отказ от системы аутентификации действительно допустим.

предыдущая следующая страница вначало главы оглавление

835