(HttpContext.Current.User != null) 是否足以假设 FormsAuthentication 已对用户进行身份验证

Question

在 ASP.NET (2.0) 应用程序中，我使用 FormsAuthentication。

在 Global.asax / Application_AuthenticateRequest 方法中，我检查 HttpContext.Current.User 是否为 null。

这是否足以了解表单身份验证 cookie 是否存在、票证是否未过期以及总体而言表单身份验证机制是否已完成其验证用户的工作？

我需要这个，因为我在该应用程序中有某些页面，有时不需要身份验证即可访问（基于某些条件），并且我将它们放在 web.config 中的单独“位置”指令中，以便排除它们来自“catch all”表单身份验证。

即，我试图检查 Application_AuthenticateRequest 在此“位置”访问的页面是否需要保护，如果是，则了解用户是否已通过身份验证，或者我需要重定向到登录。

编辑：正如答案所暗示的，我很可能会选择 IsAuthenticated。 为了让我更好地理解它，这里有 2 个额外问题:)（请编辑其他答案以添加这些问题，谢谢）：

1. 我可以假设如果 IsAuthenticated 为 true，那么 HttpContext.Current.User 肯定会包含经过身份验证的用户的用户名？

2. 如果强制执行 FormsAuthentication，并且只有少数页面被“location”指令排除，我怎样才能在 HttpContext.Current.User 中得到“匿名用户”？

Answer 1

不，User 可能只是对匿名用户的引用。 检查 HttpContext.Current.Request.IsAuthenticated。

Answer 2

我通常使用Request.IsAuthenticated。 我无法告诉你你的方法是否有效。 听起来应该是这样，尽管如果您支持匿名登录，它可能会产生副作用？

Answer 3

顺便说一句，请务必检查上下文是否为空（如果您在 httpmodule 中工作）。