還有一點就是RedirectFromLoginPage方法的第二個參數(shù)指出了是否應(yīng)該創(chuàng)建一個持久性的cookie�����,即用戶關(guān)閉瀏覽器后依然保留cookie�����。我們常常實現(xiàn)"記住我"的功能就是傳入了true.
當(dāng)我們登錄了之后����,要注銷也只要一行代碼:
protected void btnloginOut_Click(object sender, EventArgs e)
{
FormsAuthentication.SignOut();
}
Forms驗證中的Cookie問題
之前我們所見到的示例都是利用非持久性的身份驗證cookie來維持請求之前的身份驗證。這就意味著:如果用戶關(guān)閉瀏覽器���,cookie就期滿失效���,下次還需要在此登錄。從安全的方面還說�����,這是個好事。
身份驗證cookie中保存的身份驗證票據(jù)是ASP.NET應(yīng)用程序識別用戶的工具��。例如�,如果一個用戶擁有一個管理員的有效驗證票據(jù),那么我們的ASP.NET網(wǎng)站就會認(rèn)為這個用戶就是管理員���。
盡管使用持久化的身份驗證cookie風(fēng)險很大�����,但是還是有很多的用處的���。例如,如果我們只是僅僅為了區(qū)別不同的用戶���,而不是對受限資源的訪問進(jìn)行限制�,那么我們就不要求用戶在每次訪問站點時都登錄����,這樣我們就可以利用持久化的cookie,而且創(chuàng)建持久化的cookie也很簡單����,如我們之前用的RedirectFromLoginPage���,只要把方法的第二個參數(shù)設(shè)置為true就行了�����。
除此之外�,創(chuàng)建持久化的身份cookie,我們還可以使用SetAuthCookie,并且把第二個參數(shù)設(shè)置為true�。如下:
