关于ASP.NET MVC中Form Authentication与Windows Authentication的简单理解

一般互联网应用，如人人网，微博，都是需要用户登录的，如果用户不登陆，就不能使用此网站。所以，这里都是用FormAuthentication,要求用户填写用户名与密码，然后登录成功后，FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token.

一般企业内部的应用，企业内部信息系统，使用Windows Auhentication. 因为企业内部都有自己的域，员工的电脑都有这个域内部的一个ID，而且这个ID是唯一的，所有的操作都会通过这个ID进行。企业内部的信息系统是不需要用户注册的，用的都是这个ID，所以，使用Windows Authentication. 但是需要注意的是，FormAuthentication.SetAuthCookie()往往写入的都是很简单的字段，一般是username, 而真正系统中的User实体是一个很复杂的对象，有很多信息，所以，每次当用户进入这个系统后，程序会根据用户的ID或者username，找到数据库中对应的详细的User对象，然后放到Session中。一般这些操作是在Global.asax.cs中的Session_Start()中进行的。

protected void Session_Start(object sender, EventArgs e)
{
    var securityHelper = new SecurityHelper();
    securityHelper.Authenticate();
}

public class SecurityHelper
{

    private string GetWindowsVcnUserName()
    {
        // Get windows user
        var loggedUser = System.Web.HttpContext.Current.User.Identity;

        if (loggedUser != null)
        {
            string username = loggedUser.Name;
            username = username.Substring(username.IndexOf('\\') + 1);
            username = username.ToUpper();

            return username;
        }
        return null;
    }

    public virtual bool Authenticate()
    {
        // Inject implementation of the UserService through DI
        if (UserService == null)
        {
            UserService = Container.Resolve<UserService>();
        }

        string userLoggin = GetWindowsVcnUserName();

        // Get user from external authorization system
        var user = UserService.GetUser(userLoggin);
        if (user == null)
        {
            //说明数据库中没有这个用户，此时可以根据需要设定相应的逻辑，可以提示该用户不能访问此系统，也可以为此用户建立一个Guset账号，根据需要而定
        }

        // Set session
        System.Web.HttpContext.Session.Add("user", user);
        return true;
    }
}

此后，在该Session生存周期内，需要User信息的时候，只要从Session中拿就可以了，因为Session中有一个详细的User对象