一、 .net身份验证简介

  1.身份验证就是检测用户是否登录及所访问的资源是否有权限。当我们在访问一个受保护网络资源时,往往需要输入用户名、密码信息,或通过其他证书、第三方身份验证等方式。验证(Authenticate)是认证的过程 ,授权(Authorization)是权限检查。

获取权限,在.net中web.config 下提供了Window、Form、 Password、Basic、None身份验证,对于各种什么验证不做太多解释,可参考 http://www.cnblogs.com/sunnycoder/archive/2009/12/13/1623073.html。其中使用最广的是form身份验证,表单提交用户名和密码等信息进行验证。从.net 2.0有了基本的form身份验证后 ,from验证方式也不断在更新,从asp.net form(>=2.0)→membership→asp.net identity(>=4.5), 在到第三方Oauth2.0,微软的脚步是够快的...。今天主要介绍最基本的,2.0就有的老东西asp.net form身份验证,以后有时间会跟进 asp.net identity、Oauth2.0方面的文章。

二、.net form身份验证票据写入

  1.记得以前记录身份验证会记住session中。后来觉得有两方面不太妥:1)如果项目大了,服务器压力无疑很大。2)服务器意外中断,重启后,登录身份丢失。

  2.简单实现form身份验证。我将采用mvc5项目进行演示。 新建mvc5项目,如果选择个人用户身份验证将会使用asp.net identity身份验证,同时会添加AccountController。里面包括用户注册、登录等实例代码。由于本文不涉及asp.net identity不做太多解释。修改web.config   <authentication mode="Forms"></authentication > 在Login Action中写入信息  FormsAuthentication.SetAuthCookie("testUser", true);

此时最简单的from身份验证就ok啦,查看浏览器cookie信息,多了一个.aspxauth(可修改) 表示验证成功,默认cookie信息保存为30分钟。

  3.设置票据信息:上面一个示例只是简单的记录了一下用户已登录。如果要记录用户角色、设置cookie域、 过期时间等那就需要修改webconfig和写一个复杂的票据信息。

 // <summary>

        /// 执行用户登录操作

        /// </summary>

        /// <param name="loginName">登录名</param>

        /// <param name="expiration">登录Cookie的过期时间,单位:分钟。</param>

        /// <param name="isPersisten">是否跨浏览器保存用户会话</param>

        /// <param name="remeberMe">记住我</param>

        public static void LoginIn(LoginViewModel user, int expiration, bool isPersisten = false, bool remeberMe = false)

        {

            var response = HttpContext.Current.Response;

            var request = HttpContext.Current.Request;

            var roles = user.Roles;

            var rolesStr = roles == null ? string.Empty : String.Join(",", roles.Select(p => p.RoleENName));

            string userData = string.Format("{{Roles:'{0}',RemberMe:'{1}'}}", rolesStr, remeberMe.ToString());

            FormsAuthenticationTicket authTicket =new FormsAuthenticationTicket(

              , user.UserName

              , DateTime.Now

              , remeberMe ? DateTime.Now.AddDays() : DateTime.Now.AddMinutes(expiration)

              , isPersisten

              , userData

          );

            string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密

            HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

            response.Cookies.Add(authCookie);

            var returnUrl = request.QueryString["ReturnUrl"];

            response.Redirect(string.IsNullOrEmpty(returnUrl) ? FormsAuthentication.DefaultUrl : returnUrl);

        }

webconfig中除了 <authentication mode="Forms"></authentication >是必选项其余可选。我们可以再webconfig中设置cookie信息、资源限制等信息。

  <system.web>

    <authentication mode="Forms">

      <forms name="Test"

            protection="All"

            timeout="1"

            loginUrl="/Auth/Login"

            defaultUrl="~/"

            slidingExpiration="false"/>

    </authentication>

    <compilation debug="true" targetFramework="4.5" />

    <httpRuntime targetFramework="4.5" />

  </system.web>

三、.net 身份验证票据信息读取

  1.判断时机:判断用户是否登录,如果没登录就调至登陆页,登录则读取相关信息。这个用户判断是在httphandler 还是httpmodule中呢。答案显然只需用户首次访问时判断就可以了,不必每次请求action都判断。所以是在httpmodule。对于每个控制器继承一个父类BaseController,再重写OnActionExecuting这种做法会影响性能,不是一个明智的选择。

  2.web.config截取:

  <!--页面权限控制-->

<location path="Home/Index">

    <system.web>

        <authorization>

            <deny users="?"/>

        </authorization>

    </system.web>

</location>

  <!--目录权限控制-->

 <location path="Member">

    <system.web>

        <authorization>

            <allow roles="Member"/>

            <deny users="*"/>

        </authorization>

    </system.web>

</location>

  3.Aop拦截:在.net4.0中可以通过   [Authorize]特性判断用户是否登录,同时也可以自定义方法和特性控制。在global中通过下面方法控制

protected void FormsAuthentication_OnAuthenticate(object sender, FormsAuthenticationEventArgs e)

  4.读取票据信息:

       var cookieName= FormsAuthentication.FormsCookieName;

           var cookie = Request.Cookies[cookieName];

           if (cookie!=null)

           {

             //  FormsAuthentication.GetAuthCookie();

             var ticket= FormsAuthentication.Decrypt(cookie.Value);//读取

             var value=JsonConvert.DeserializeObject(ticket.UserData);

           }
void Application_AuthenticateRequest(object sender, EventArgs e)

{

    //在安全模块建立起当前用户的有效的身份时,该事件被触发。在这个时候,用户的凭据将会被验证。 

    string cookieName = FormsAuthentication.FormsCookieName;

    HttpCookie authCookie = Context.Request.Cookies[cookieName];

    FormsAuthenticationTicket authTicket = null;

    try

    {

        authTicket = FormsAuthentication.Decrypt(authCookie.Value);//解密

    }

    catch (Exception ex)

    {

        return;

    }

    string[] roles = authTicket.UserData.Split(new char[] { ',' });//如果存取多个角色,我们把它分解

    FormsIdentity id = new FormsIdentity(authTicket);

    System.Security.Principal.GenericPrincipal principal = new System.Security.Principal.GenericPrincipal(id, roles);

    Context.User = principal;//存到HttpContext.User中

}

  

四、参考

http://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html

http://www.cnblogs.com/sunnycoder/archive/2009/12/13/1623073.html

http://www.360doc.com/content/12/0331/10/9525522_199530386.shtml

asp.net 身份验证-Form 身份验证的更多相关文章

  1. ASP.NET 中通过Form身份验证 来模拟Windows 域服务身份验证的方法

    This step-by-step article demonstrates how an ASP.NET   application can use Forms authentication to ...

  2. ASP.NET Form身份验证方式详解

    注:不会涉及ASP.NET的登录系列控件以及membership的相关话题, 我只想用比较原始的方式来说明在ASP.NET中是如何实现身份认证的过程.   ASP.NET身份认证基础 在开始今天的博客 ...

  3. ASP.NET没有魔法——ASP.NET Identity 的“多重”身份验证

    ASP.NET Identity除了提供基于Cookie的身份验证外,还提供了一些高级功能,如多次输入错误账户信息后会锁定用户禁止登录.集成第三方验证.账户的二次验证等,并且ASP.NET MVC的默 ...

  4. asp.net core 3.x 身份验证-1涉及到的概念

    前言 从本篇开始将围绕asp.net core身份验证写个小系列,希望你看完本系列后,脑子里对asp.net core的身份验证原理有个大致印象.至于身份验证是啥?与授权有啥联系?就不介绍了,太啰嗦. ...

  5. asp.net core 3.x 身份验证-3cookie身份验证原理

    概述 上两篇(asp.net core 3.x 身份验证-1涉及到的概念.asp.net core 3.x 身份验证-2启动阶段的配置)介绍了身份验证相关概念以及启动阶段的配置,本篇以cookie身份 ...

  6. 从零搭建一个IdentityServer——聊聊Asp.net core中的身份验证与授权

    OpenIDConnect是一个身份验证服务,而Oauth2.0是一个授权框架,在前面几篇文章里通过IdentityServer4实现了基于Oauth2.0的客户端证书(Client_Credenti ...

  7. asp.net 登陆验证 Form表单验证的3种方式 FormsAuthentication.SetAuthCookie;FormsAuthentication.RedirectFromLoginPage;FormsAuthenticationTicket

    我们在登陆成功后,使用下面的3种方法,都是同一个目的:创建身份验证票并将其附加到 Cookie, 当我们用Forms认证方式的时候,可以使用HttpContext.Current.User.Ident ...

  8. asp.net form身份认证不定时认证失败的问题 排查

    1.网站出现form认证不定时认证失败.登陆过后 每隔一会儿就需要重新登陆.首先检查的是form身份认证票据设置的时间(正常) 然后检查加密后的身份认证信息写入的cookie的失效时间(正常) 2.这 ...

  9. 2017年3月14日-----------乱码新手自学.net 之Authorize特性与Forms身份验证(登陆验证、授权小实例)

    有段时间没写博客了,最近工作比较忙,能敲代码的时间也不多. 我一直有一个想法,想给单位免费做点小软件,一切思路都想好了,但是卡在一个非常基础的问题上:登陆与授权. 为此,我看了很多关于微软提供的Ide ...

随机推荐

  1. 使用selenium启动火狐浏览器,解决Unable to create new remote session问题

    今天用火狐浏览器来做自动化,才启动就报错,提示不能创建新的session,不能启动浏览器 问题原因: 火狐driver与火狐浏览器与selenium版本的不兼容 我使用的火狐driver是0.21.0 ...

  2. Jenkins使用分组过滤分类

    背景:Jenkins项目过多,通过选项卡的方式过滤需要的项目 1.点击选择卡上的加号 2.填写要分组的名字 3.可选择某个job进行分类,或者使用正则表达式的方式进行分类,楼主是根据正则进行匹配, 4 ...

  3. POJ-3009 Curling 2.0---DFS求最短路

    题目链接: https://vjudge.net/problem/POJ-3009 题目大意: 问题:打冰球.冰球可以往上下左右4个方向走,只有当冰球撞到墙时才会停下来,而墙会消失.当冰球紧贴墙时,不 ...

  4. EK算法应用,构图(POJ1149)

    题目链接:http://poj.org/problem?id=1149 题意中有一点要注意,否则构图就会有问题,每个顾客走后,被打开过的那些猪圈中的猪都可以被任意的调换到其他开着的猪圈中. 这里的构图 ...

  5. 2018.7.5 jQuery学习

    <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8&quo ...

  6. numpy中的inf

    numpy中的inf表示一个无限大的正数 import numpy x = numpy.inf x>9999999999999999999 结果为: True

  7. CNMeM is disabled

    See here: http://deeplearning.net/software/theano/library/config.html You can change this in the env ...

  8. jeDate日期控件

    http://www.jayui.com/jedate/     这是日期控件官网,可以去里面下载使用 前台 <%@ Page Language="C#" AutoEvent ...

  9. Linux中用户与用户组管理

    1.基础知识 Linux作为一种多用户的操作系统(服务器系统),允许多个用户同时登陆到系统上,并响应每个用户的请求. 任何需要使用操作系统的用户,都需要一个系统账号,账号分为:管理员账号与普通用户账号 ...

  10. phpmailer类的再封装

    email <?php use PHPMailer\PHPMailer\PHPMailer; class Email { const SMTPDebug = 2; const HOST = 's ...