调试易

我们的登录页面是用于“单点登录”独立网站的。简单给你描述一下：单点登录登录网站提供登录页面login.aspx，业务网站可以使用iframe方式把它嵌入自己的页面。访问登录页面其实需要这样的url：login.aspx?ret=http://www.123.com/，也就是提供业务网站的首页地址。用户登录后，单点登录网站会分配一个用户id号，然后将浏览器最外层页面转向首页。例如：http://www.123.com/?id=283728382372。业务网站使用特定的webService到单点登录网站获得id所代表的对象。

这样的url：login.aspx  -->  这样的url：https://www.pss.com/login.aspx

我们没有试过把业务网站与pss合并的情况，把两个网站合并在一起来只能节省一、二百块钱成本。

问题是如何在现有form验证的基础上改呢？？

在你的login.aspx页面的onload方法里，if (!Request.IsSecureConnection)
{
//把FormsAuthentication.LoginUrl转换成https的
//然后重新定向  Response.Redirect(....);
 
}同时参考
INFO: Help Secure Forms Authentication by Using Secure Sockets Layer (SSL)
http://support.microsoft.com/kb/813829

同志们，俺又回来了！
一来就看到还有好多没结贴的，尤其是这个帖子，竟然被这么多大牛们关注，真是过意不去。俺在codeproject上也找过一些case，下面能够帮上忙的，大伙可以参考一下哦。
http://www.codeproject.com/KB/web-security/WebPageSecurity_v2.aspx

哦这么老的快2两年的帖子翻出来了呵呵。我觉得其实你当初就当作两个不同域名的网站来设计就好。一个网站使用https方式获得了登录的passportId，然后它重定向到另外一个网站并且包含这个passportId，另外一个网站使用这个passportId重新获取用户信息并保存在cookie中。因此使用https的登录页面功能简单无需Form验证。