一、 .net身份验证简介

  1.身份验证就是检测用户是否登录及所访问的资源是否有权限。当我们在访问一个受保护网络资源时,往往需要输入用户名、密码信息,或通过其他证书、第三方身份验证等方式。验证(Authenticate)是认证的过程 ,授权(Authorization)是权限检查。

获取权限,在.net中web.config 下提供了Window、Form、 Password、Basic、None身份验证,对于各种什么验证不做太多解释,可参考 http://www.cnblogs.com/sunnycoder/archive/2009/12/13/1623073.html。其中使用最广的是form身份验证,表单提交用户名和密码等信息进行验证。从.net 2.0有了基本的form身份验证后 ,from验证方式也不断在更新,从asp.net form(>=2.0)→membership→asp.net identity(>=4.5), 在到第三方Oauth2.0,微软的脚步是够快的...。今天主要介绍最基本的,2.0就有的老东西asp.net form身份验证,以后有时间会跟进 asp.net identity、Oauth2.0方面的文章。

二、.net form身份验证票据写入

  1.记得以前记录身份验证会记住session中。后来觉得有两方面不太妥:1)如果项目大了,服务器压力无疑很大。2)服务器意外中断,重启后,登录身份丢失。

  2.简单实现form身份验证。我将采用mvc5项目进行演示。 新建mvc5项目,如果选择个人用户身份验证将会使用asp.net identity身份验证,同时会添加AccountController。里面包括用户注册、登录等实例代码。由于本文不涉及asp.net identity不做太多解释。修改web.config   <authentication mode="Forms"></authentication > 在Login Action中写入信息  FormsAuthentication.SetAuthCookie("testUser", true);

此时最简单的from身份验证就ok啦,查看浏览器cookie信息,多了一个.aspxauth(可修改) 表示验证成功,默认cookie信息保存为30分钟。

  3.设置票据信息:上面一个示例只是简单的记录了一下用户已登录。如果要记录用户角色、设置cookie域、 过期时间等那就需要修改webconfig和写一个复杂的票据信息。

 // <summary>

        /// 执行用户登录操作

        /// </summary>

        /// <param name="loginName">登录名</param>

        /// <param name="expiration">登录Cookie的过期时间,单位:分钟。</param>

        /// <param name="isPersisten">是否跨浏览器保存用户会话</param>

        /// <param name="remeberMe">记住我</param>

        public static void LoginIn(LoginViewModel user, int expiration, bool isPersisten = false, bool remeberMe = false)

        {

            var response = HttpContext.Current.Response;

            var request = HttpContext.Current.Request;

            var roles = user.Roles;

            var rolesStr = roles == null ? string.Empty : String.Join(",", roles.Select(p => p.RoleENName));

            string userData = string.Format("{{Roles:'{0}',RemberMe:'{1}'}}", rolesStr, remeberMe.ToString());

            FormsAuthenticationTicket authTicket =new FormsAuthenticationTicket(

              , user.UserName

              , DateTime.Now

              , remeberMe ? DateTime.Now.AddDays() : DateTime.Now.AddMinutes(expiration)

              , isPersisten

              , userData

          );

            string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密

            HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

            response.Cookies.Add(authCookie);

            var returnUrl = request.QueryString["ReturnUrl"];

            response.Redirect(string.IsNullOrEmpty(returnUrl) ? FormsAuthentication.DefaultUrl : returnUrl);

        }

webconfig中除了 <authentication mode="Forms"></authentication >是必选项其余可选。我们可以再webconfig中设置cookie信息、资源限制等信息。

  <system.web>

    <authentication mode="Forms">

      <forms name="Test"

            protection="All"

            timeout="1"

            loginUrl="/Auth/Login"

            defaultUrl="~/"

            slidingExpiration="false"/>

    </authentication>

    <compilation debug="true" targetFramework="4.5" />

    <httpRuntime targetFramework="4.5" />

  </system.web>

三、.net 身份验证票据信息读取

  1.判断时机:判断用户是否登录,如果没登录就调至登陆页,登录则读取相关信息。这个用户判断是在httphandler 还是httpmodule中呢。答案显然只需用户首次访问时判断就可以了,不必每次请求action都判断。所以是在httpmodule。对于每个控制器继承一个父类BaseController,再重写OnActionExecuting这种做法会影响性能,不是一个明智的选择。

  2.web.config截取:

  <!--页面权限控制-->

<location path="Home/Index">

    <system.web>

        <authorization>

            <deny users="?"/>

        </authorization>

    </system.web>

</location>

  <!--目录权限控制-->

 <location path="Member">

    <system.web>

        <authorization>

            <allow roles="Member"/>

            <deny users="*"/>

        </authorization>

    </system.web>

</location>

  3.Aop拦截:在.net4.0中可以通过   [Authorize]特性判断用户是否登录,同时也可以自定义方法和特性控制。在global中通过下面方法控制

protected void FormsAuthentication_OnAuthenticate(object sender, FormsAuthenticationEventArgs e)

  4.读取票据信息:

       var cookieName= FormsAuthentication.FormsCookieName;

           var cookie = Request.Cookies[cookieName];

           if (cookie!=null)

           {

             //  FormsAuthentication.GetAuthCookie();

             var ticket= FormsAuthentication.Decrypt(cookie.Value);//读取

             var value=JsonConvert.DeserializeObject(ticket.UserData);

           }
void Application_AuthenticateRequest(object sender, EventArgs e)

{

    //在安全模块建立起当前用户的有效的身份时,该事件被触发。在这个时候,用户的凭据将会被验证。 

    string cookieName = FormsAuthentication.FormsCookieName;

    HttpCookie authCookie = Context.Request.Cookies[cookieName];

    FormsAuthenticationTicket authTicket = null;

    try

    {

        authTicket = FormsAuthentication.Decrypt(authCookie.Value);//解密

    }

    catch (Exception ex)

    {

        return;

    }

    string[] roles = authTicket.UserData.Split(new char[] { ',' });//如果存取多个角色,我们把它分解

    FormsIdentity id = new FormsIdentity(authTicket);

    System.Security.Principal.GenericPrincipal principal = new System.Security.Principal.GenericPrincipal(id, roles);

    Context.User = principal;//存到HttpContext.User中

}

  

四、参考

http://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html

http://www.cnblogs.com/sunnycoder/archive/2009/12/13/1623073.html

http://www.360doc.com/content/12/0331/10/9525522_199530386.shtml

asp.net 身份验证-Form 身份验证的更多相关文章

  1. ASP.NET 中通过Form身份验证 来模拟Windows 域服务身份验证的方法

    This step-by-step article demonstrates how an ASP.NET   application can use Forms authentication to ...

  2. ASP.NET Form身份验证方式详解

    注:不会涉及ASP.NET的登录系列控件以及membership的相关话题, 我只想用比较原始的方式来说明在ASP.NET中是如何实现身份认证的过程.   ASP.NET身份认证基础 在开始今天的博客 ...

  3. ASP.NET没有魔法——ASP.NET Identity 的“多重”身份验证

    ASP.NET Identity除了提供基于Cookie的身份验证外,还提供了一些高级功能,如多次输入错误账户信息后会锁定用户禁止登录.集成第三方验证.账户的二次验证等,并且ASP.NET MVC的默 ...

  4. asp.net core 3.x 身份验证-1涉及到的概念

    前言 从本篇开始将围绕asp.net core身份验证写个小系列,希望你看完本系列后,脑子里对asp.net core的身份验证原理有个大致印象.至于身份验证是啥?与授权有啥联系?就不介绍了,太啰嗦. ...

  5. asp.net core 3.x 身份验证-3cookie身份验证原理

    概述 上两篇(asp.net core 3.x 身份验证-1涉及到的概念.asp.net core 3.x 身份验证-2启动阶段的配置)介绍了身份验证相关概念以及启动阶段的配置,本篇以cookie身份 ...

  6. 从零搭建一个IdentityServer——聊聊Asp.net core中的身份验证与授权

    OpenIDConnect是一个身份验证服务,而Oauth2.0是一个授权框架,在前面几篇文章里通过IdentityServer4实现了基于Oauth2.0的客户端证书(Client_Credenti ...

  7. asp.net 登陆验证 Form表单验证的3种方式 FormsAuthentication.SetAuthCookie;FormsAuthentication.RedirectFromLoginPage;FormsAuthenticationTicket

    我们在登陆成功后,使用下面的3种方法,都是同一个目的:创建身份验证票并将其附加到 Cookie, 当我们用Forms认证方式的时候,可以使用HttpContext.Current.User.Ident ...

  8. asp.net form身份认证不定时认证失败的问题 排查

    1.网站出现form认证不定时认证失败.登陆过后 每隔一会儿就需要重新登陆.首先检查的是form身份认证票据设置的时间(正常) 然后检查加密后的身份认证信息写入的cookie的失效时间(正常) 2.这 ...

  9. 2017年3月14日-----------乱码新手自学.net 之Authorize特性与Forms身份验证(登陆验证、授权小实例)

    有段时间没写博客了,最近工作比较忙,能敲代码的时间也不多. 我一直有一个想法,想给单位免费做点小软件,一切思路都想好了,但是卡在一个非常基础的问题上:登陆与授权. 为此,我看了很多关于微软提供的Ide ...

随机推荐

  1. ZOJ - 2112 Dynamic Rankings(BIT套主席树)

    纠结了好久的一道题,以前是用线段树套平衡树二分做的,感觉时间复杂度和分块差不多了... 终于用BIT套函数式线段树了过了,120ms就是快,此题主要是卡内存. 假设离散后有ns个不同的值,递归层数是l ...

  2. POJ-2395 Out of Hay---MST最大边

    题目链接: https://vjudge.net/problem/POJ-2395 题目大意: 求MST中的最大边,和POJ-2495类似 思路: 模板直接过 #include<iostream ...

  3. 引用类型(二):Array类型

    一.js中的数组与其它语言中的数组的区别1.ECMAScript数组的每一项可以保存任何类型的数据2.ECMAScript数组的大小是可以动态调整的 二.创建数组的基本方式1.使用Array构造函数 ...

  4. JS中如何得到触发事件的属性?

    <html xmlns="http://www.w3.org/1999/xhtml"><head runat="server">    ...

  5. Spring任务执行器(TaskExecutor)

    Spring任务执行器(TaskExecutor)    Spring通州任务执行器(TaskExecutor)来实现多线程和并发编程,使用ThreadPoolTaskExecutor可实现一个基于线 ...

  6. 【洛谷P1323】删数问题

    删数问题 题目链接 首先找出最小的k个数:用堆每次取出最小的元素p,将p*2+1和p*4+5压入堆. 贪心求最大数:从前往后找第一个data[j+1]>data[j],删除data[j].(链表 ...

  7. django视图层(views)

    1.视图层概念 视图函数,其实就是一个简单的函数,它接收web请求并返回web响应(响应的可以是一个html,一个重定向,一个xml文档等等) 每个视图函数都负责返回一个HttpResponse对象. ...

  8. element-UI动态的循环生成Popover弹出框的方法

    父组件:<div class="itemLi" :class="{gray: (salse.flashsaleStatus==3 || salse.flashsal ...

  9. nginx+php-fpm结构模型剖析及优化(转载)

    一.nginx和php-fpm的关系和分工 nginx是web服务器,php-fpm是一个PHPFastCGI进程管理器,两者遵循fastcgi的协议进行通信,nginx负责静态类似html文件的处理 ...

  10. IntelliJ IDEA 方法注释教程

    首先Ctrl +Alt +S ,打开Settings ,找到Live Template,然后点击右侧的绿色的“+”,选择Template Group 然后给新建的Group随便命个名 选中自己刚才创建 ...