Asp.Net Forms认证在移动平台中遇到的一个问题以及调查过程

我们项目的网站的移动版是基于Asp.Net平台开发的，用户登录也是基于Asp.Net的Forms认证，在整个开发和测试过程中没有发现任何客户登录异常，但是发布后断断续续有用户反映在登录页面登录成功后跳转主页后，主页并没有识别登录用户，也即是Form 认证失败。Asp.Net的Form认证大家应该有所了解，其内部的机制就是把用户数据加密后保存在一个基于cookie的票据FormsAuthenticationTicket中，即认证过程中要借助于cookie。初步判断问题出在cookie上，以下是问题的调查过程。

搭建调试环境

移动平台web开发中，调试不像桌面web开发中那么容易，难点在于移动设备多种多样，并且移动设备中也很少有帮助调试的工具。为了测试如上的问题，我们借助了一个强大的HTTP监控工具Fiddler。 Fiddler可以设置容许远程设备通过代理访问服务器，这样Fiddler就可以监控移动设备中的HTTP请求。Fddler中的设置如下图：

设置移动设备的网络访问代理为Fiddler所在的机器IP，端口为如上图所示Fiddler设置监控的端口号，这样就可以监控移动的所有HTTP的请求了。

确定问题点

搭建好测试环境后，就开始确认问题了，用户无法登陆，那么是否cookie丢失了呢？ 认证的cookie是在登录画面设置的，登录画面的请求是通过HTTPS协议的，而首页的请求是通过HTTP协议的，通过查看Fiddler，用户登录后，登录页面成功设置了认证cookie，并且首页请求时也把认证cookie发回到了服务器端，监控信息如下图显示：

登录画面设置的cookie

首页发回到服务器端的cookie

至此可以判断，问题不是在客户端，而是在服务器端，那么为什么服务器端不能识别返回的认证信息呢？为什么有些从某些设备上登录就失败呢？这些设备的浏览器发到服务器端的请求唯一的差别就是user-agent，那么服务器端针对user-agent又做了些什么呢？带着这些问题，又深入地研究了一下ASP.NET认证原理，以及ASP.NET中有关cookie方面的一些特性。
深入理解cookieless在ASP.NET Form认证中的应用
要确认服务器端为什么没有成功认证，那么必须要理解ASP.Net中的cookieless功能。
cookie失效有很多原因，有用户禁用cookie的，也有设备不支持cookie的，所以ASP.NET中加入了cookieless这样一个特性，使得当cookie失效是也能提供一种类似cookie的作用，比如可以把信息通过URL传递，cookieless这个功能就是基于这样的目的而加入的。