IE11下Forms身份认证无法保存Cookie的问题

　　asp.net中使用Forms身份认证常见的做法如下：

1. 网站根目录下的Web.config添加authentication节点

<authentication mode="Forms">  <forms name="MyAuth" loginUrl="manager/Login.aspx" defaultUrl="manager/default.aspx" PRotection="All" timeout="60" /></authentication>

2. 在manager子目录下添加Web.config文件并加入下面的内容：

<?xml version="1.0"?><configuration>    <system.web>      <authorization>        <allow roles="Admin" />        <deny users="*" />      </authorization>    </system.web></configuration>

　　这样，用户在没有Forms认证的情况下访问manager子目录下的任何页面均会自动跳转到manager/Login.aspx页面。如果认证成功，则会默认回到manager/default.aspx页面。认证有效期为60分钟。

3. 添加认证代码。登录按钮中添加下面的代码：

if (!snCheckCode.CheckSN(txt_ValidateCode.Text)){    snCheckCode.Create();    Utility.ShowMessage("校验码错误！");    return;}string strUserName = txt_Username.Text.Trim();string md5Pwd = Helper.MD5Forphp(Helper.MD5ForPHP(txt_PassWord.Text));lc_admin admin = null;bool logined = false;using (var context = new dbEntities()){    admin = context.tb_admin.Where(n => n.username == strUserName).FirstOrDefault();    if (admin != null)    {        if (admin.checkadmin != "true")        {            snCheckCode.Create();            Utility.ShowMessage("抱歉，该账号被禁止登录！");            return;        }        if (admin.password == md5Pwd)        {            // Update Admin Info            admin.loginip = Request.UserHostAddress.ToString();            admin.logintime = CndingUtility.DateTimeToUnixTimeStamp(DateTime.Now);            context.SaveChanges();            logined = true;        }    }}if (logined){    // Login    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(        1,        admin.id.ToString(),        DateTime.Now,        DateTime.Now.AddMinutes(60),        false,        "Admin",        FormsAuthentication.FormsCookiePath        );    string hashTicket = FormsAuthentication.Encrypt(ticket);    HttpCookie userCookie = new HttpCookie(FormsAuthentication.FormsCookieName, hashTicket);    HttpContext.Current.Response.Cookies.Add(userCookie);    if (Request["ReturnUrl"] != null)    {        Response.Redirect(HttpUtility.HtmlDecode(Request["ReturnUrl"]));    }    else    {        Response.Redirect("/manager/default.aspx");    }}else{    snCheckCode.Create();    CndingUtility.ShowMessage("用户名或密码不正确！");}

MD5加密代码：

public static string MD5ForPHP(string stringToHash){    var md5 = new System.Security.Cryptography.MD5CryptoServiceProvider();    byte[] emailBytes = Encoding.UTF8.GetBytes(stringToHash.ToLower());    byte[] hashedEmailBytes = md5.ComputeHash(emailBytes);    StringBuilder sb = new StringBuilder();    foreach (var b in hashedEmailBytes)    {        sb.Append(b.ToString("x2").ToLower());    }    return sb.ToString();}

　　认证成功后默认会将用户登录信息以Cookie的形式存放到客户端，有效期为60分钟。UserData被设置为用户的角色，在判断用户是否登录时会用到。如下面的代码：

if (HttpContext.Current.User.Identity.IsAuthenticated){    int adminId = -1;    FormsIdentity identity = (FormsIdentity)HttpContext.Current.User.Identity;    FormsAuthenticationTicket ticket = identity.Ticket;    string userData = ticket.UserData;    if (userData == "Admin")    {        // To do something    }}

　　上述代码在Visual Studio中运行一切正常！但是将网站发布到服务器的IIS （可能会是较低版本的IIS，如IIS 6）后，发现登录功能异常。输入用户名和密码后点击登录按钮，页面postback但并不能正确跳转，尝试手动访问受保护的页面会被自动跳转回登录页面。更奇怪的是该问题只出现在IE11浏览器上，尝试用Firefox或Chrome访问登录功能运行正常。初步怀疑是IIS设置的问题，可是IIS 6上并没有与Cookie相关的设置，好像记得IIS 7上倒是有这个设置。但因为只有IE 11存在该问题，所以可以否定代码本身存在任何问题。

　　此外，还尝试了降低IE 11的安全级别，重新安装服务器上的.net framework以及下载最新的补丁等等，均不能解决问题。后来发现其实只需要简单修改Web.config中authentication节点的设置就可以了，给forms添加cookieless="UseCookies"属性即可。

<authentication mode="Forms">  <forms name="MyAuth" cookieless="UseCookies" loginUrl="manager/Login.aspx" defaultUrl="manager/default.aspx" protection="All" timeout="60" /></authentication>

　　用以明确告诉服务器使用Cookie来保存用户验证信息。问题解决！