asp.net 身份验证-Form 身份验证

一、 .net身份验证简介

　　1.身份验证就是检测用户是否登录及所访问的资源是否有权限。当我们在访问一个受保护网络资源时，往往需要输入用户名、密码信息，或通过其他证书、第三方身份验证等方式。验证（Authenticate）是认证的过程 ，授权（Authorization）是权限检查。

获取权限，在.net中web.config 下提供了Window、Form、 Password、Basic、None身份验证,对于各种什么验证不做太多解释，可参考 http://www.cnblogs.com/sunnycoder/archive/2009/12/13/1623073.html。其中使用最广的是form身份验证，表单提交用户名和密码等信息进行验证。从.net 2.0有了基本的form身份验证后 ，from验证方式也不断在更新，从asp.net form(>=2.0)→membership→asp.net identity(>=4.5), 在到第三方Oauth2.0，微软的脚步是够快的...。今天主要介绍最基本的，2.0就有的老东西asp.net form身份验证，以后有时间会跟进 asp.net identity、Oauth2.0方面的文章。

 

二、.net form身份验证票据写入

　　1.记得以前记录身份验证会记住session中。后来觉得有两方面不太妥：1）如果项目大了,服务器压力无疑很大。2）服务器意外中断，重启后，登录身份丢失。

　　2.简单实现form身份验证。我将采用mvc5项目进行演示。 新建mvc5项目，如果选择个人用户身份验证将会使用asp.net identity身份验证，同时会添加AccountController。里面包括用户注册、登录等实例代码。由于本文不涉及asp.net identity不做太多解释。修改web.config   <authentication mode="Forms"></authentication > 在Login Action中写入信息  FormsAuthentication.SetAuthCookie("testUser", true);

此时最简单的from身份验证就ok啦，查看浏览器cookie信息，多了一个.aspxauth（可修改） 表示验证成功，默认cookie信息保存为30分钟。

　　3.设置票据信息：上面一个示例只是简单的记录了一下用户已登录。如果要记录用户角色、设置cookie域、 过期时间等那就需要修改webconfig和写一个复杂的票据信息。

 // <summary>
        /// 执行用户登录操作
        /// </summary>
        /// <param name="loginName">登录名</param>
        /// <param name="expiration">登录Cookie的过期时间，单位：分钟。</param>
        /// <param name="isPersisten">是否跨浏览器保存用户会话</param>
        /// <param name="remeberMe">记住我</param>
        public static void LoginIn(LoginViewModel user, int expiration, bool isPersisten = false, bool remeberMe = false)
        {
            var response = HttpContext.Current.Response;
            var request = HttpContext.Current.Request;

            var roles = user.Roles;
            var rolesStr = roles == null ? string.Empty : String.Join(",", roles.Select(p => p.RoleENName));
            string userData = string.Format("{{Roles:'{0}',RemberMe:'{1}'}}", rolesStr, remeberMe.ToString());

            FormsAuthenticationTicket authTicket =new FormsAuthenticationTicket(
              1
              , user.UserName
              , DateTime.Now
              , remeberMe ? DateTime.Now.AddDays(7) : DateTime.Now.AddMinutes(expiration)
              , isPersisten
              , userData
          );
            string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密
            HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
            response.Cookies.Add(authCookie);

            var returnUrl = request.QueryString["ReturnUrl"];
            response.Redirect(string.IsNullOrEmpty(returnUrl) ? FormsAuthentication.DefaultUrl : returnUrl);

        }
    

webconfig中除了 <authentication mode="Forms"></authentication >是必选项其余可选。我们可以再webconfig中设置cookie信息、资源限制等信息。

  <system.web>
    <authentication mode="Forms">
      <forms name="Test"
            protection="All"
            timeout="1"
            loginUrl="/Auth/Login"
            defaultUrl="~/"
            slidingExpiration="false"/>
    </authentication>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
  </system.web>

 

三、.net 身份验证票据信息读取

　　1.判断时机：判断用户是否登录，如果没登录就调至登陆页，登录则读取相关信息。这个用户判断是在httphandler 还是httpmodule中呢。答案显然只需用户首次访问时判断就可以了，不必每次请求action都判断。所以是在httpmodule。对于每个控制器继承一个父类BaseController，再重写OnActionExecuting这种做法会影响性能，不是一个明智的选择。

　　2.web.config截取：

  <!--页面权限控制-->
<location path="Home/Index">
    <system.web>
        <authorization>
            <deny users="?"/>
        </authorization>
    </system.web>
</location>
  <!--目录权限控制-->
 <location path="Member">
    <system.web>
        <authorization>
            <allow roles="Member"/>
            <deny users="*"/>
        </authorization>
    </system.web>
</location>

 

　　3.Aop拦截：在.net4.0中可以通过   [Authorize]特性判断用户是否登录，同时也可以自定义方法和特性控制。在global中通过下面方法控制

protected void FormsAuthentication_OnAuthenticate(object sender, FormsAuthenticationEventArgs e)

　　4.读取票据信息:

 　　　　　 var cookieName= FormsAuthentication.FormsCookieName;
           var cookie = Request.Cookies[cookieName];

           if (cookie!=null)
           {
             //  FormsAuthentication.GetAuthCookie();
             var ticket= FormsAuthentication.Decrypt(cookie.Value);//读取
             var value=JsonConvert.DeserializeObject(ticket.UserData);
           }

 

void Application_AuthenticateRequest(object sender, EventArgs e)
{
    //在安全模块建立起当前用户的有效的身份时，该事件被触发。在这个时候，用户的凭据将会被验证。 
 
    string cookieName = FormsAuthentication.FormsCookieName;
    HttpCookie authCookie = Context.Request.Cookies[cookieName];
    FormsAuthenticationTicket authTicket = null;
    try
    {
        authTicket = FormsAuthentication.Decrypt(authCookie.Value);//解密
    }
    catch (Exception ex)
    {
        return;
    }

    string[] roles = authTicket.UserData.Split(new char[] { ',' });//如果存取多个角色,我们把它分解

    FormsIdentity id = new FormsIdentity(authTicket);

    System.Security.Principal.GenericPrincipal principal = new System.Security.Principal.GenericPrincipal(id, roles);
    Context.User = principal;//存到HttpContext.User中
}

　　

四、参考

http://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html

http://www.cnblogs.com/sunnycoder/archive/2009/12/13/1623073.html

http://www.360doc.com/content/12/0331/10/9525522_199530386.shtml