基于窗体的身份验证是 ASP.NET 身份验证服务，它使应用程序能够提供它们自己的登录 UI 和进行它们自己的凭据验证。ASP.NET 验证用户的身份，将未授权的用户重定向到登录页并执行所有必要的 Cookie 管理。这种身份验证是许多 Web 站点使用的流行方法。

应用程序必须被配置成使用基于窗体的身份验证，将 <authentication> 设置为 Forms 并且拒绝匿名用户访问。下面的示例说明如何在所需应用程序的 Web.config 文件中完成此配置：

管理员使用基于窗体的身份验证来配置要使用的 Cookie 名称、保护类型、用于登录页的 URL、Cookie 生效的时间长度以及用于已发布 Cookie 的路径。下表显示了 <Forms> 元素（它是下面的示例中显示的 <authentication> 元素的子元素）的有效属性：

配置了应用程序后，需要提供一个登录页。下面的示例显示了一个简单的登录页。示例在运行时要求 Default.aspx 页。未授权的请求被重定向到登录页 (Login.aspx)，此页显示一个简单的窗体，提示用户输入电子邮件地址和密码。（使用 Username="jdoe@somewhere.com" 和 Password="password" 作为凭据。）

验证了凭据后，应用程序调用下列内容：

FormsAuthentication.RedirectFromLoginPage(UserEmail.Value, PersistCookie.Checked); FormsAuthentication.RedirectFromLoginPage(UserEmail.Value, PersistCookie.Checked) FormsAuthentication.RedirectFromLoginPage(UserEmail.Value, PersistCookie.Checked);
C#	VB	JScript

这将用户重定向回当初请求的 URL。不想执行重定向的应用程序可以或者调用 FormsAuthentication.GetAuthCookie 来检索 Cookie 值，或者调用 FormsAuthentication.SetAuthCookie 将正确加密的 Cookie 附加到输出的响应中。对于提供嵌入在包含页中的登录 UI 的应用程序，或者想要更多地控制用户被重定向到的位置的应用程序而言，这些方法很有用。身份验证 Cookie 既可以临时又可以永久（“持久”）。临时 Cookie 只在当前浏览器会话期间保持。当浏览器关闭时，临时 Cookie 随即丢失。永久 Cookie 则被浏览器保存，并在浏览器会话间回发，直到被用户显式删除。

VB 基于窗体的/Cookie 身份验证 [运行示例] | [查看源代码]

窗体身份验证使用的身份验证 Cookie 由 System.Web.Security.FormsAuthenticationTicket 类的线性版本组成。信息包括用户名（但没有密码）、使用的窗体身份验证版本、发出 Cookie 的日期以及可选的应用程序特定数据的字段。

通过使用 FormsAuthentication.SignOut 方法，应用程序代码可以撤消或移除身份验证 Cookie。这将移除身份验证 Cookie，不论它是临时的还是永久的。

还可以使用配置为基于窗体的身份验证服务提供有效凭据的列表，如下例所示：

应用程序然后可以调用 FormsAuthentication.Authenticate 并提供用户名和密码，ASP.NET 将验证凭据。根据 passwordFormat 属性的下列值，凭据可以存储在明文中，或者存储为 SHA1 或 MD5：