使用HttpContext的User属性来实现用户验证
HttpContext类包含了个别HTTP请求的所有特定HTTP信息。这个示例主要是讲如何使用HttpContext类中的User属性来实现用户验证!
用户验证是大部分ASP.NET WEB应用程序都要用到的,它在整个应用程序中占有很重要的地位,在.NET中,包含了很多种用户验证方式,如众所周知的PassPort认证, Windows认证,Form认证等等,可是这些都很难满足我们在实际应用中的需求,以致于很多朋友都是自己另外写代码来实现自己需要的功能,这让我们在安全性以及系统效率上要考虑很多。
实际上,ASP.NET中内置的用户验证机制功能非常强大,同时也具有非常好的的可扩展性,它能够在HttpContext对象中生成一个名为User的属性,这个属性能让我们访问各种信息,包括用户是否已验证,用户的类型,用户名等等,我们还可以对该属性的功能进性扩展,以实现我们的要求。
分配给HttpContext.User的对象必须实现IPrincipal接口,而Iprincipal定义的属性之一是Identity,它必须实现Iidentity接口。因为,我们只要写了实现这两个接口的类,就可以在这些类中添加任何我们所需要的功能。
首先,我们创建两个实现Iprincipal和Iidentity的类,分另为MyIprincipal和MyIdentity
MyIprincipal.cs
using System;
using System.Collections;
namespace HttpContextUserEG
{
///
/// MyPrincipal 的摘要说明。
///
/// 实现IPrincipal接口
public class MyPrincipal : System.Security.Principal.IPrincipal
{
private System.Security.Principal.IIdentity identity;
private ArrayList roleList;
public MyPrincipal(string userID,string password)
{
//
// TODO: 在此处添加构造函数逻辑
//
identity = new MyIdentity(userID,password);
if(identity.IsAuthenticated)
{
//如果通过验证则获取该用户的Role,这里可以修改为从数据库中
//读取指定用户的Role并将其添加到Role中,本例中直接为用户添加一个Admin角色
roleList = new ArrayList();
roleList.Add("Admin");
}
else
{
// do nothing
}
}
public ArrayList RoleList
{
get
{
return roleList;
}
}
#region IPrincipal 成员
public System.Security.Principal.IIdentity Identity
{
get
{
// TODO: 添加 MyPrincipal.Identity getter 实现
return identity;
}
set
{
identity = value;
}
}
public bool IsInRole(string role)
{
// TODO: 添加 MyPrincipal.IsInRole 实现
return roleList.Contains(role);;
}
#endregion
}
}
MyIdentity.cs
using System;
namespace HttpContextUserEG
{
///
/// MyIdentity 的摘要说明。
///
/// 实现IIdentity接口
public class MyIdentity : System.Security.Principal.IIdentity
{
private string userID;
private string password;
public MyIdentity(string currentUserID,string currentPassword)
{
//
// TODO: 在此处添加构造函数逻辑
//
userID = currentUserID;
password = currentPassword;
}
private bool CanPass()
{
//这里朋友们可以根据自己的需要改为从数据库中验证用户名和密码,
//这里为了方便我直接指定的字符串
if(userID == "yan0lovesha" && password == "iloveshasha")
{
return true;
}
else
{
return false;
}
}
public string Password
{
get
{
return password;
}
set
{
password = value;
}
}
#region IIdentity 成员
public bool IsAuthenticated
{
get
{
// TODO: 添加 MyIdentity.IsAuthenticated getter 实现
return CanPass();
}
}
public string Name
{
get
{
// TODO: 添加 MyIdentity.Name getter 实现
return userID;
}
}
//这个属性我们可以根据自己的需要来灵活使用,在本例中没有用到它
public string AuthenticationType
{
get
{
// TODO: 添加 MyIdentity.AuthenticationType getter 实现
return null;
}
}
#endregion
}
}
在完成了这两个类之后我们还要创建一个自己的Page类,来配合我们的验证,这里我们将其命名为MyPage,继承自Page类
MyPage.cs
using System;
using System.Collections;
namespace HttpContextUserEG
{
///
/// MyPage 的摘要说明。
///
/// 继承自Page类
public class MyPage : System.Web.UI.Page
{
public MyPage()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
protected override void OnInit(EventArgs e)
{
base.OnInit (e);
this.Load +=new EventHandler(MyPage_Load);
}
//在页面加载的时候从缓存中提取用户信息
private void MyPage_Load(object sender, System.EventArgs e)
{
if(Context.User.Identity.IsAuthenticated)
{
if(Context.Cache["UserMessage"] != null)
{
Hashtable userMessage = (Hashtable)Context.Cache["UserMessage"];
MyPrincipal principal = new MyPrincipal(userMessage["UserID"].ToString(),userMessage["UserPassword"].ToString());
Context.User = principal;
}
}
}
}
}
下面就是我们的界面WebForm.aspx和WebForm.aspx.cs
WebForm.aspx
WebForm1
用户名:
密 码:
WebForm1.aspx.cs
using System;
using System.Collections;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Web;
using System.Web.Caching;
using System.Web.SessionState;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.HtmlControls;
namespace HttpContextUserEG
{
///
/// WebForm1 的摘要说明。
///
/// 将这里本来继承自Page类改为继承自我们自己的MyPage类
public class WebForm1 : HttpContextUserEG.MyPage
{
protected System.Web.UI.WebControls.TextBox tbxUserID;
protected System.Web.UI.WebControls.TextBox tbxPassword;
protected System.Web.UI.WebControls.Panel Panel1;
protected System.Web.UI.WebControls.Button btnAdmin;
protected System.Web.UI.WebControls.Button btnUser;
protected System.Web.UI.WebControls.Label lblRoleMessage;
protected System.Web.UI.WebControls.Label lblLoginMessage;
protected System.Web.UI.WebControls.Button btnLogin;
private void Page_Load(object sender, System.EventArgs e)
{
// 在此处放置用户代码以初始化页面
}
#region Web 窗体设计器生成的代码
override protected void OnInit(EventArgs e)
{
//
// CODEGEN: 该调用是 ASP.NET Web 窗体设计器所必需的。
//
InitializeComponent();
base.OnInit(e);
}
///
/// 设计器支持所需的方法 - 不要使用代码编辑器修改
/// 此方法的内容。
///
private void InitializeComponent()
{
this.btnLogin.Click += new System.EventHandler(this.btnLogin_Click);
this.btnAdmin.Click += new System.EventHandler(this.btnAdmin_Click);
this.btnUser.Click += new System.EventHandler(this.btnUser_Click);
this.Load += new System.EventHandler(this.Page_Load);
}
#endregion
private void btnLogin_Click(object sender, System.EventArgs e)
{
MyPrincipal principal = new MyPrincipal(tbxUserID.Text,tbxPassword.Text);
if(!principal.Identity.IsAuthenticated)
{
lblLoginMessage.Text = "用户名或密码不正确";
Panel1.Visible = false;
}
else
{
// 如果用户通过验证,则将用户信息保存在缓存中,以备后用
// 在实际中,朋友们可以尝试使用用户验证票的方式来保存用户信息,这也是.NET内置的用户处理机制
Context.User = principal;
Hashtable userMessage = new Hashtable();
userMessage.Add("UserID",tbxUserID.Text);
userMessage.Add("UserPassword",tbxPassword.Text);
Context.Cache.Insert("UserMessage",userMessage);
lblLoginMessage.Text = tbxUserID.Text + "已经登录";
Panel1.Visible = true;
}
}
private void btnAdmin_Click(object sender, System.EventArgs e)
{
// 验证用户的Role中是否包含Admin
if(Context.User.IsInRole("Admin"))
{
lblRoleMessage.Text = "用户" + ((MyPrincipal)Context.User).Identity.Name + "属于Admin组";
}
else
{
lblRoleMessage.Text = "用户" + Context.User.Identity.Name + "不属于Admin组";
}
}
private void btnUser_Click(object sender, System.EventArgs e)
{
// 验证用户的Role中是否包含User
if(Context.User.IsInRole("User"))
{
lblRoleMessage.Text = "用户" + Context.User.Identity.Name + "属于User组";
}
else
{
lblRoleMessage.Text = "用户" + Context.User.Identity.Name + "不属于User组";
}
}
}
}
代码部分介绍完了,朋友们可以自己试试来看到效果,在这个例子中很多地方都为了方便而直接给予赋值,在实际应用中,这些将是从数据库或从其它配置文件中得到,而这种方法的可扩展性是非常高的,我们可以根据自己的需要来扩展MyIprincipal和MyIdentity类的功能。比如我们可以添加一个 IsInPermission来使用户不仅属于角色,每个角色还可以拥有不同的权限。在本例中,在用户验证过后是通过使用缓存来保存已验证用户的信息的,我们还可以尝试使用用户验证票的方式来实现。
我们可以看到,这种用户验证机制,在我们的程序越宠大,它所带来的好处就越多,而且他还有很多值得我们发掘的地方!
希望大家能和我互相交流!谢谢!
