Flux de contrôle de l'authentification par formulaire

Article
10/22/2014

Le flux de contrôle de l'authentification par formulaire est illustré dans le tableau suivant.

Navigateur et opération HTTP Réponse du serveur

Navigateur et opération HTTP	Réponse du serveur
Demande une ressource protégée au serveur. L'opération HTTP est : `GET /default.aspx`	En l'absence d'un cookie d'authentification, redirige la demande vers une page de connexion pour collecter des informations d'identification. Les informations concernant la page d'origine sont placées dans la chaîne de requête en utilisant `RETURNURL` comme clé. La réponse HTTP du serveur est : `302 Found Location: http://samples.microsoft.com/logon.aspx?RETURNURL=/default.aspx`
Suit la redirection vers la page de connexion. L'opération HTTP est : `GET /logon.aspx?RETURNURL=/default.aspx`	Retourne la page de connexion. Pour des raisons de sécurité, il est recommandé d'utiliser SSL (Secure Sockets Layer) pour la page d'ouverture de session afin d'empêcher l'envoi des informations d'identification de l'utilisateur en texte clair. La réponse HTTP du serveur est : `200 OK`
Après que l'utilisateur a indiqué ses informations d'identification dans la page de connexion, envoie la page. L'opération HTTP est : `POST /logon.aspx?RETURNURL=/default.aspx`	Valide les informations d'identification de l'utilisateur et, si celles-ci sont authentifiées, redirige le navigateur vers l'URL d'origine spécifiée dans QueryString en tant que variable `RETURNURL`. Par défaut, le ticket d'authentification est émis sous la forme d'un cookie. Remarque Vous pouvez spécifier que le ticket d'authentification doit être inclus dans l'URL au lieu d'un cookie à l'aide de la propriété CookieMode. La réponse HTTP du serveur est : `302 Found Location: /default.aspx`
Suit la redirection et redemande la ressource d'origine. L'opération HTTP est : `GET /default.aspx`	Si l'utilisateur est authentifié, octroit l'accès et le cookie d'authentification qui contient un ticket d'authentification. Les demandes futures formulées pendant la même session du navigateur seront authentifiées lorsque le module examinera le cookie. Il est possible de créer un cookie persistant pouvant être utilisé pour des sessions futures, mais uniquement jusqu'à la date d'expiration du cookie. La réponse HTTP du serveur est : `200 OK Set-Cookie: ASPXTICKET=ABCDEFG12345;Path=/` Notez que le chemin d'accès indique /. Dans la mesure où les noms de cookies respectent la casse, cela permet d'éviter des incohérences dans l'utilisation de la casse dans les URL du site. Par exemple, si le chemin d'accès indique /SavingsPlan et si un lien contient /savingsplan, l'utilisateur sera obligé de se faire authentifier une nouvelle fois, car le navigateur n'aura pas envoyé le cookie.

Demande une ressource protégée au serveur. L'opération HTTP est :

GET /default.aspx

En l'absence d'un cookie d'authentification, redirige la demande vers une page de connexion pour collecter des informations d'identification. Les informations concernant la page d'origine sont placées dans la chaîne de requête en utilisant RETURNURL comme clé. La réponse HTTP du serveur est :

302 Found
Location: http://samples.microsoft.com/logon.aspx?RETURNURL=/default.aspx

Suit la redirection vers la page de connexion. L'opération HTTP est :

GET /logon.aspx?RETURNURL=/default.aspx

Retourne la page de connexion. Pour des raisons de sécurité, il est recommandé d'utiliser SSL (Secure Sockets Layer) pour la page d'ouverture de session afin d'empêcher l'envoi des informations d'identification de l'utilisateur en texte clair. La réponse HTTP du serveur est :

200 OK

Après que l'utilisateur a indiqué ses informations d'identification dans la page de connexion, envoie la page. L'opération HTTP est :

POST /logon.aspx?RETURNURL=/default.aspx

Valide les informations d'identification de l'utilisateur et, si celles-ci sont authentifiées, redirige le navigateur vers l'URL d'origine spécifiée dans QueryString en tant que variable RETURNURL. Par défaut, le ticket d'authentification est émis sous la forme d'un cookie.

Remarque

Vous pouvez spécifier que le ticket d'authentification doit être inclus dans l'URL au lieu d'un cookie à l'aide de la propriété CookieMode.

La réponse HTTP du serveur est :

302 Found
Location: /default.aspx

Suit la redirection et redemande la ressource d'origine. L'opération HTTP est :

GET /default.aspx

Si l'utilisateur est authentifié, octroit l'accès et le cookie d'authentification qui contient un ticket d'authentification. Les demandes futures formulées pendant la même session du navigateur seront authentifiées lorsque le module examinera le cookie. Il est possible de créer un cookie persistant pouvant être utilisé pour des sessions futures, mais uniquement jusqu'à la date d'expiration du cookie. La réponse HTTP du serveur est :

200 OK
Set-Cookie: ASPXTICKET=ABCDEFG12345;Path=/

Notez que le chemin d'accès indique /. Dans la mesure où les noms de cookies respectent la casse, cela permet d'éviter des incohérences dans l'utilisation de la casse dans les URL du site. Par exemple, si le chemin d'accès indique /SavingsPlan et si un lien contient /savingsplan, l'utilisateur sera obligé de se faire authentifier une nouvelle fois, car le navigateur n'aura pas envoyé le cookie.

Voir aussi

Autres ressources

Sécurité des applications Web ASP.NET
Fournisseur d'authentification par formulaire

Partager via

Flux de contrôle de l'authentification par formulaire

Voir aussi

Autres ressources

Ressources supplémentaires