跨機器間的 Web Application 使用 forms-base authentication 來達到 Single sign-on(SSO)

前言

在 多個 Web Application 使用同一個 Forms Authentication 之中,
我們透過設定相同的 machineKey 來達到讓不同的 Web Application 所產生的 forms-base authentication cookie 是可以相通的。
而測試是在這些 Web Application 在同一台機器之中,如果是不同的機器時,例如(http://ap1.rmtech.com/http://ap2.rmtech.com/),又該如何處理呢?

實作

1.建立2個 WebForm 範例程式 Web1 & Web2

2個 Web Application 中各有 login.aspx 及 default.aspx ,分別做登入及顯示登入者的訊息,
login.aspx

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<!DOCTYPE html>

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
</head>
<body>
     <h2>AP1</h2>
    <form id="form1" runat="server">
        <div>
            User:<asp:TextBox ID="txtUserId" runat="server"></asp:TextBox>
            <br />
            <asp:Button ID="btnLogin" runat="server" Text="Login" OnClick="btnLogin_Click" />
        </div>
    </form>
    <script runat="server">
        protected void btnLogin_Click(object sender, EventArgs e)
        {
            FormsAuthentication.SetAuthCookie(txtUserId.Text, false);
            var rmCookie = new HttpCookie("rm");
            rmCookie.Value = "Hello!";
            Response.SetCookie(rmCookie);
            Response.Redirect("Default.aspx");
        }
    </script>
</body>
</html>

default.aspx

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<!DOCTYPE html>

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title></title>
</head>
<body>
    <form id="form1" runat="server">
        <h2>AP1</h2>
        <div>
            <%
                Response.Write("User:" + User.Identity.Name);
            %>
        </div>
        <div>
            <h4>debug</h4>
            <%
                try
                {
                    var authCookieName = FormsAuthentication.FormsCookieName;
                    HttpCookie authCookie = Request.Cookies[authCookieName];
                    if (authCookie == null)
                    {
                        Response.Write("取不到驗證Cookie值");
                    }
                    //如果 MachineKey 不對,或是.NET Framework 有差異,可能會發生 0x80004005 的錯誤
                    FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(authCookie.Value);
                    //解開後,可以取得登入者的名稱
                    string userName = ticket.Name;
                    Response.Write(userName);
                }catch(Exception ex)
                {
                    Response.Write(ex.ToString());
                }
                %>
        </div>
    </form>
</body>
</html>

web.config

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?xml version="1.0" encoding="utf-8"?>

<!--
  如需如何設定 ASP.NET 應用程式的詳細資訊,請前往
  https://go.microsoft.com/fwlink/?LinkId=169433
  -->
<configuration>
  <system.web>
    <compilation debug="true" targetFramework="4.7" />
    <httpRuntime targetFramework="4.7" />
 
	  <authorization>
		  <deny users="?" />
	  </authorization>
	  <authentication mode="Forms">
		  <forms name="ShareAuth"
				 loginUrl="Login.aspx" protection="All" path="/" />
	  </authentication>
	  <machineKey decryption="AES" 
		decryptionKey="46F730A941B41DE161BDF88094E689A9BB472CE129859CCC" 
		validation="SHA1" 
		validationKey="E525478818C44B333427B92909F8ED4B1A5734CBF0D99D27EE9F0E3A309FC900B6EB94F7DE135EA798900AA5B323D2FE192D355127E5753652F6FF7CA4D53E0E" />
  </system.web>
  <system.codedom>
    <compilers>
      <compiler language="c#;cs;csharp" extension=".cs" type="Microsoft.CodeDom.Providers.DotNetCompilerPlatform.CSharpCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=2.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" warningLevel="4" compilerOptions="/langversion:default /nowarn:1659;1699;1701" />
      <compiler language="vb;vbs;visualbasic;vbscript" extension=".vb" type="Microsoft.CodeDom.Providers.DotNetCompilerPlatform.VBCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=2.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" warningLevel="4" compilerOptions="/langversion:default /nowarn:41008 /define:_MYTYPE=\&quot;Web\&quot; /optionInfer+" />
    </compilers>
  </system.codedom>

</configuration>

註: 如果 machineKey 中的 validation 要使用別的演算法,例如 AES, 3DES 的話,就要再設定 compatibilityMode 為 Framework20SP2 or Framework20SP1 ,詳細請參考 MachineKeySection.CompatibilityMode

2.在 IIS 中建立2個網站(ap1, ap2)

在 IIS 中,分別新增 ap1 及 ap2 ,同時設定 主機名稱 (ap1.rmtech.com 及 ap2.rmtech.com)來代表不同的機器,如下,

3.在 hosts 檔案中,新增本機與那2個網站的對應

在 C:\Windows\System32\drivers\etc\hosts 檔案中加入 ap1 & ap2 的對應

1
2
127.0.0.1 ap1.rmtech.com
127.0.0.1 ap2.rmtech.com

透過 Browser 連到 ap1.rmtech.com/login.aspx ,登入後,會導到 default.aspx

查看它的 cookies 可以發現有一個 ShareAuth 的 cookie ,它的 domain 為 ap1.rmtech.com 。

在原有 Browser 開啟新的 tab ,並輸入 ap2.rmtech.com/default.aspx ,會發現被導到 login.aspx ,
而 Cookies 中並看不到 ShareAuth 的 cookie 。

登入後,可以發現 ap2 也有一個 ShareAuth 的 cookie ,它的 domain 為 ap2.rmtech.com 。

從上面的操作可以發現,目前這樣是無法達到不同機器的 Web Application 的 Single sign-on,
因為存入的 Cookie 是不同的 domain 。

解法

所以,只要讓 ap1 及 ap2 可以互通 Cookie 即可,就在 forms tag 屬性 多加入 domain 的設定,如下,
web.config

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?xml version="1.0" encoding="utf-8"?>

<!--
  如需如何設定 ASP.NET 應用程式的詳細資訊,請前往
  https://go.microsoft.com/fwlink/?LinkId=169433
  -->
<configuration>
  <system.web>
    <compilation debug="true" targetFramework="4.7" />
    <httpRuntime targetFramework="4.7" />
 
	  <authorization>
		  <deny users="?" />
	  </authorization>
	  <authentication mode="Forms">
		  <forms name="ShareAuth" domain="rmtech.com" 
				 loginUrl="Login.aspx" protection="All" path="/" />
	  </authentication>
	  <machineKey decryption="AES" 
		decryptionKey="46F730A941B41DE161BDF88094E689A9BB472CE129859CCC" 
		validation="SHA1" 
		validationKey="E525478818C44B333427B92909F8ED4B1A5734CBF0D99D27EE9F0E3A309FC900B6EB94F7DE135EA798900AA5B323D2FE192D355127E5753652F6FF7CA4D53E0E" />
  </system.web>
  <system.codedom>
    <compilers>
      <compiler language="c#;cs;csharp" extension=".cs" type="Microsoft.CodeDom.Providers.DotNetCompilerPlatform.CSharpCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=2.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" warningLevel="4" compilerOptions="/langversion:default /nowarn:1659;1699;1701" />
      <compiler language="vb;vbs;visualbasic;vbscript" extension=".vb" type="Microsoft.CodeDom.Providers.DotNetCompilerPlatform.VBCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=2.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" warningLevel="4" compilerOptions="/langversion:default /nowarn:41008 /define:_MYTYPE=\&quot;Web\&quot; /optionInfer+" />
    </compilers>
  </system.codedom>

</configuration>

當 ap1, ap2 的 web.config 都設定好之後,再重新開啟 Browser ,ap1 登入後,可以發現 ShareAuth cookie 的 domain 為 .rmtech.com 。

再原有的 Browser 中,再開啟新的 Tab 連到 ap2.rmtech.com/default ,可以發現可以正常顯示,查看 cookie 也有取到原有 ap1 所寫入的 ShareAuth 這個 cookie 。

範例請參考cross-machines-formsbase-auth-sso

參考資料

Implement forms-based authentication in an ASP.NET application by using C#.NET
MachineKeySection.CompatibilityMode
多個 Web Application 使用同一個 Forms Authentication
如何在 ASP.NET 中設定舊版加密模式

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw