ASP.NET 子域 Cookie（父域和一个子域）

Question

我有一个包含多个子域 subone.parent.com、subtwo.parent.com 的应用。

我在 parent.com/login 上有一个登录页面。当用户登录时，我会根据他们所属的域将他们重定向到正确的域。这工作正常。

FormsAuthenticationTicket ticket = new FormsAuth...
string encTicket = FormsAuthentication.Encrypt(ticket);
var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
cookie.Domain = subone.parent.com
Response.Cookies.Add(cookie)

这会正确验证 subone.parent.com 的用户，而不是 subtwo.parent.com。但是我想做以下事情。

如果用户返回 parent.com，我想知道他们已登录并将他们重定向回 subone.parent.com。

是否有实现此目的的最佳实践？还是我必须为 parent.com 设置另一个 cookie？

如果重要的话，我正在使用 asp.net mvc。

谢谢！

Answer 1

您可以像尝试做的那样跨域共享 cookie，但这并不简单，例如 here。

另一种选择是将 cookie 设置为“.parent.com”，而不是明确指定子域，并使用 cookie 存储子域的详细信息。然后，您可以从您的任何子域（以及假设其 www.parent.com 的父域）访问 cookie。

如果您使用 MVC，您可以轻松创建自定义过滤器并添加到 www.parent.com 控制器以检查 cookie 是否存在，如果存在则重定向到 cookie 指定的子域。过滤器的更多细节here。

Answer 2

我会为显式域设置 cookie，因为这会维护该特定域的 cookie 中的任何安全信息。您还可以在 *.parent.com 级别添加一个未加密的 cookie，其中包含有关哪些域已通过身份验证的信息。尽管不使用时间戳并在应用程序之间建立逻辑连接，但没有真正的方法可以将它们联系在一起（即 - sub2 的会话超时时间为 20 分钟，因此如果域 + 有效时间戳出现在父 cookie 中，它将是有效的，但是这是业务逻辑）。

我不确定域之间断开连接背后的原因，但您实际上可能更喜欢在加密文本后面有一个加密文本的单个 cookie。例如：

1) Sub1 登录，将 parent.com cookie 设置为有效。将一段用户数据发送到身份验证 Web 服务。

2) 身份验证服务将 sub1 识别为发送者，对用户数据进行加密，并将其添加到自定义 cookie 对象中。

3) 自定义 cookie 对象在唯一拆分字符（或序列）上构造复合字符串，并使其可用于服务方法。

4) 服务使用表单加密，加密整个票证并将其发送回原始登录。

这样，每台服务器都可以对全局票证进行解密，但每条数据都将使用通用算法加密，但使用基于服务器的 salt。所以如果 sub2 尝试从 sub1 读取 cookie 数据，它会得到加密版本而不是原始数据。

Answer 3

您可以在所有子域上共享同一个会话。这就是我们用来完成的代码:-)

void MasterPage_Unload(object sender, EventArgs e)
{
   ///ASP.NET uses one cookie per subdomain/domain,
   ///we need one cookie for _all_ subdomains.
   if (Context.Response.Cookies["ASP.NET_SessionId"] == null)
      return;

   var sessionCookie = new HttpCookie("ASP.NET_SessionId", Context.Session.SessionID);
   sessionCookie.Domain = ".yourdomain.com" ; 
   Context.Response.SetCookie(sessionCookie);
 }

Page_Load 方法里面是：

 Unload += MasterPage_Unload;

效果很好:-)

罗伯特