Asp.Net MVC 身份验证-Forms

在MVC中对于需要登录才可以访问的页面,只需要在对应的Controller或Action上添加特性[Authorize]就可以限制非登录用户访问该页面。那么如果实现登录?

Form登录

应用程序确认用户状态

HTTP协议是无状态的。所以上一次请求和下一次请求并不能相互关联起来,就是说这些请求并不能确定是哪个用户和用户的状态。但是对于登录来说,我们就需要准确的知道用户的状态及是哪个用户。

通常有两种情况来记录用户状态。

  • 一种在服务端通过Session来标识。

  • 一种通过Cookie在客户端标识用户。(用户每次请求应用程序时都会携带该Cookie。)

Form登录实现

Forms 身份验证将身份验证标记保留在 Cookie 或页的 URL 中。Forms 身份验证通过 FormsAuthenticationModule 类参与到 ASP.NET 页面的生命周期中。可以通过 FormsAuthentication 类访问 Forms 身份验证信息和功能。

步骤一

Web.Config配置文件中指定验证的方式为Form,并设置跳转的登录地址和Cookie的名称,及超时时间等。

<system.web>

    <authentication mode="Forms">

      <forms loginUrl="/Home/Login" timeout="120" cookieless="UseCookies" name="LoginCookieName"></forms>

    </authentication>

  </system.web>

设置该配置文件,并不需要特意给Action传递returnUrl,就可以获取到跳转地址。

Form特性的详细说明

此时当未登录的用户访问有[Authorize]特性的Action操作时,会被跳转到Login页面,同时Login页面的URL后面会添加一个加密的ReturnUrl地址,该地址指向之前访问的有[Authorize]特性的Action地址。

步骤二

之前提到Form认证其实就是生成了一个Cookie,存放到用户的浏览器中。通过FormAuthenication.SetAuthCookie(userName,true);设置验证登录的Cookie。再通过页面跳转将Cookie响应给客户端。

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult Login(LoginViewModel vm,string returnUrl)

{

    if (ModelState.IsValid)

    {

        //用户名,密码验证

        FormsAuthentication.SetAuthCookie(vm.UserName, true); //设置Form验证Cookie,后一个 参数为是否创建持久Cookie。及true为可以在用户浏览器上保存的。false为不在浏览器上保存。

        if (Url.IsLocalUrl(returnUrl))

        {

            return Redirect(returnUrl);

        }

        return RedirectToAction("Detail");

    }

    else

        return View(vm);

}

此时当我们登录以后会在浏览器中生成一个跟配置文件中名称相同的Cookie

如:

该Cookie就是我们已经登录,通过Form验证的凭证。

此时我们就可以访问那些需要登录才能访问的页面。

注销

删除对应的Cookie即可实现注销,代码如下:

[Authorize]

public ActionResult LogOut()

{

    FormsAuthentication.SignOut();//通过Forms验证来删除Cookie

    return View();

}

角色添加

有些页面可能只允许特定用户才能访问,在MVC中可以通过[Authorize(Roles="VIP")]设置Action或Controller,表示只有角色为VIP的用户才可以访问该页面。

如:只有登录且用户角色为VIP的才可以访问这个页面。

[Authorize(Roles = "VIP")]

public ActionResult VIP()

{

    return View();

}

同时

需要在设置Form验证凭据时把用户角色添加到Cookie。

如:

[HttpPost]

[ValidateAntiForgeryToken]

public ActionResult Login(LoginViewModel vm, string returnUrl)

{

    if (ModelState.IsValid)

    {

       //用户名,密码验证

        //FormsAuthentication.SetAuthCookie(vm.UserName, true); //设置Form验证Cookie,后一个 参数为是否创建持久Cookie。及true为可以在用户浏览器上保存的。false为不在浏览器上保存。

        //if (Url.IsLocalUrl(returnUrl))

        //{

        //    return Redirect(returnUrl);

        //}

        //return RedirectToAction("Detail");

        vm.Role = "VIP";

        var authTicket = new FormsAuthenticationTicket(

                            1,                             // 版本

                            vm.UserName,                   // 用户名称

                            DateTime.Now,                  // 创建日期

                            DateTime.Now.AddMinutes(20),   // 过期时间

                            vm.Remember,                   // 是否记住

                            vm.Role                        // 用户角色

                            );

        string encryptedTicket = FormsAuthentication.Encrypt(authTicket);

        var authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

        authCookie.HttpOnly = true;//客户端脚本不能访问

        authCookie.Secure = FormsAuthentication.RequireSSL;//是否仅用https传递cookie

        authCookie.Domain = FormsAuthentication.CookieDomain;//与cookie关联的域

        authCookie.Path = FormsAuthentication.FormsCookiePath;//cookie关联的虚拟路径

        Response.Cookies.Add(authCookie);

        if (Url.IsLocalUrl(returnUrl))

        {

            return Redirect(returnUrl);

        }

        return RedirectToAction("Detail");

    }

    else

        return View(vm);

}

在Global.asax.cs文件中重写Application_AuthenticateRequest事件

protected void Application_AuthenticateRequest(Object sender, EventArgs e)

{

    //获取Cookie

    HttpCookie authCookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName];

    if (authCookie == null || authCookie.Value == "")

        return;

    FormsAuthenticationTicket authTicket;

    try

    {

        //解析Cookie

        authTicket = FormsAuthentication.Decrypt(authCookie.Value);

    }

    catch

    {

        return;

    }

    // 解析权限

    string[] roles = authTicket.UserData.Split(';');

    if (Context.User != null)

        //把权限赋值给当前用户

        Context.User = new GenericPrincipal(Context.User.Identity, roles);

}

至此最简单的Form身份验证实现了。但是该Cookie只包含了用户名,没有其他信息。如果要包含其他信息,可以通过扩展用户的身份标识(HttpContext.User实例)来实现。

HttpContext.User定义如下

通过User属性可以访问Iprincipal接口的属性和方法。

//获取或设置当前 HTTP 请求的安全信息。

public IPrincipal User

{

	get;

	[SecurityPermissionAttribute(SecurityAction.Demand, ControlPrincipal = true)]

	set;

}

所以扩展用户身份标识可以通过实现IPrincipal接口。

如:

public class MyFormsPrincipal<TUserData> : IPrincipal where TUserData : class, new()

{

    private IIdentity _identity;

    private TUserData _userData;

    public MyFormsPrincipal(FormsAuthenticationTicket ticket, TUserData userData)

    {

        if( ticket == null )

            throw new ArgumentNullException("ticket");

        if( userData == null )

            throw new ArgumentNullException("userData");

        _identity = new FormsIdentity(ticket);//Forms身份验证

        _userData = userData;

    }

    public TUserData UserData

    {

        get { return _userData; }

    }

    public IIdentity Identity

    {

        get { return _identity; }

    }

    public bool IsInRole(string role)

    {

        return false;

    }

}

这个方法的核心是:

  1. 在登录时,创建自定义的FormsAuthenticationTicket对象,它包含了用户信息。
  2. 加密FormsAuthenticationTicket对象。
  3. 创建登录Cookie,它将包含FormsAuthenticationTicket对象加密后的结果。
  4. 在管线的早期阶段,读取登录Cookie,如果有,则解密。
  5. 从解密后的FormsAuthenticationTicket对象中还原我们保存的用户信息。
  6. 设置HttpContext.User为我们自定义的对象。

代码

如有不对,请多多指教。

参考:

Asp.Net MVC 身份验证-Forms的更多相关文章

  1. Asp.net Mvc 身份验证、异常处理、权限验证(拦截器)实现代码

    本问主要介绍asp.net的身份验证机制及asp.net MVC拦截器在项目中的运用.现在让我们来模拟一个简单的流程:用户登录>权限验证>异常处理 1.用户登录 验证用户是否登录成功步骤直 ...

  2. jwt的ASP.NET MVC 身份验证

    Json Web Token(jwt)      一种不错的身份验证及授权方案,与 Session 相反,Jwt 将用户信息存放在 Token 的 payload 字段保存在客户端,通过 RSA 加密 ...

  3. Asp.net Mvc身份验证

    1.安装组件 Microsoft.AspNet.Identity.Core,身份认证核心组件 安装Microsoft.AspNet.Identity.EntityFramework,EF实现身份认证 ...

  4. 转 asp.net mvc 身份验证中返回绝对路径的ReturnUrl

    原文:http://www.cnblogs.com/hyl8218/archive/2011/11/22/2259116.html 从HttpUnauthorizedResult的源码可以看出,Htt ...

  5. ASP.NET MVC 随想录——探索ASP.NET Identity 身份验证和基于角色的授权,中级篇

    在前一篇文章中,我介绍了ASP.NET Identity 基本API的运用并创建了若干用户账号.那么在本篇文章中,我将继续ASP.NET Identity 之旅,向您展示如何运用ASP.NET Ide ...

  6. ASP.NET中身份验证

    ASP.NET中身份验证有三种方式:Windows.Forms和Passport. 1.Windows验证,基于窗体验证,需要每个页面写上验证身份代码,相对灵活,但操作过于复杂: 2.Passport ...

  7. ASP.NET中身份验证的三种方法

    Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活.Forms 验证方式对基于用户的验证授权 ...

  8. ASP.NET Identity 身份验证和基于角色的授权

    ASP.NET Identity 身份验证和基于角色的授权 阅读目录 探索身份验证与授权 使用ASP.NET Identity 身份验证 使用角色进行授权 初始化数据,Seeding 数据库 小结 在 ...

  9. .Net MVC 身份验证

    .Net身份验证主要是分为三种 Windows | Forms | Passport ,其中Froms在项目中用的最多. Windows 身份验证 Forms 验证 Passport 验证 1.Win ...

随机推荐

  1. PDFBox创建并打印PDF文件, 以及缩放问题的处理.

    PDFBox带了一些很方便的API, 可以直接创建 读取 编辑 打印PDF文件. 创建PDF文件 public static byte[] createHelloPDF() { ByteArrayOu ...

  2. TempFile模块

    tempfile模块,用来对临时数据进行操作 tempfile 临时文件(夹)操作 tempfile.mkstemp([suffix="[, prefix='tmp'[, dir=None[ ...

  3. Angular之指令Directive系列

    项目筹备近期开启Angular学习,指令比较难理解所以记录备案,推荐Angualr实战学习视频大漠穷秋 Angular实战 一.指令directive概述 指令可以对元素绑定事件监听或者改变DOM结构 ...

  4. TCP头部分析与确认号的理解

    1.TCP的特点: 基于字节流面向连接可靠传输缓冲传输全双工流量控制 2.头部格式和说明 图源百度.如下图示,就是TCP包的头部结构.可以看到这个头部最少有4x5=20个字节. 另外还需要理解TCP协 ...

  5. 【Win 10 应用开发】MIDI 音乐合成——音符消息篇

    在上一篇中,老周介绍了一些乐理知识,有了那些常识后,进行 MIDI 编程就简单得多了.尽管微软已经把 API 封装好,用起来也很简单,但是,如果你没有相应的音乐知识基础,你是无法进行 MIDI 编程的 ...

  6. android 自己创建一个凝视模板

    android  自己创建一个凝视模板 作为一名程序猿 不仅要有一个写代码的能力,养成一个良好的编写习惯也是非常重要的. 今天给大家具体介绍一下怎样创建凝视模板,给每一个类和方法都自己手动去凝视信息也 ...

  7. 自学Zabbix3.8.2-可视化Visualisation-maps网络地图

    自学Zabbix3.8.2-可视化Visualisation-maps网络地图 可以简单的理解为动态网络拓扑图,可以针对业务来配置zabbix map,通过map可以了解应用的整体状况:服务器是否异常 ...

  8. MPSOC之1——overview、开发板、工具

    1.MPSOC overview MPSOC是xilinx公司推出的新一代集成SOC,比ZYNQ厉害了一个等级. 熟悉一个芯片,不能一头扎进详细的数据手册,应该从overview开始大概了解,然后浏览 ...

  9. immutable.js 更新数组(mergeDeepWith)

    使用情境: 技术栈为:react + redux + antd (reducer中处理数据使用了immutable.js). 问题:如下图,做一个搜索功能,form表单每改变一次,都会调用一个upda ...

  10. EJB:快速入门

    1.EJB概念 2.EJB体系结构 3.SessionBean 3.1 SessionBean 服务端组件 3.2 Remote 与 Local 模式 3.3 Client访问处理流程 3.3.1 R ...