Asp.net身份认证记录

基础知识
　　身份标识在客户端主要是两个存储位置：
　　　　cookie 常用
　　　　url 很少用 url作为cookie禁用的备选方案
　　　　form 几乎不用 很麻烦，每次请求都必须是form提交方式
　　　　authorization 很少用，header.authorization里面存的是base64的明文数据，不安全，一般在路由器或简单文档浏览上会用身份认证模式，因为简单方便

普通登录，自己登录，验证授权
　　OAuth2.0, 一个通用的认证授权服务，主要提供给app的api。特别是对于数据访问调用的情况。例如转发微博，但这个滥用比较危险
　　OpenID , 通用的认证服务，用来统一登录功能的。网站A支持X的OpentID,则可以在登录时在X登录后拥有一个OpenId标识，这个标识A也是认可的身份标识，两方的数据并不通用，
　　SSO, 单点登录 ，统一认证，授权的web服务。登录后可以有数据互通。

net认证机制
　　FORM身份验证, 依赖Cookie或URL中的标识
　　集成WINDOWS验证 适合内联网（局域网）用，依赖于IIS
　　Basic基础认证 将票据信息保存在head.Authorization里，跳转时必须url传送，不能自动携带，安全新低
　　Digest摘要认证 客户端和服务器端 约定加密方式，传送单向加密信息摘要，服务端同样加密来验证

服务器端的session数据存储位置为两种
　　客户端，存储在cookie中，每次请求发送给服务器，解析后在后台代码中使用，客户流量大点，安全性低些，服务器内存占用低些
　　服务器端，存储在服务器内存中，内存占用高一些，安全性高，流量低些

 

Asp.Net身份认证--参考 http://tech.it168.com/a2012/0417/1338/000001338130_all.shtml
　　认证：在Asp.Net管线中用AuthenticateRequest事件
　　　　构造HttpContext.User对象
　　　　由FormsAuthenticationModule 实现

　　授权：在Asp.Net管线中用AuthorizeRequest事件
　　　　检查授权，重定向
　　　　由UrlAuthorizationModule实现（此moudule结合membership等）

　　登陆：FormsAuthentication.SetAuthCookie() 方法，是默认的设定登陆票据方法，只有有一个标识，没有其他信息
　　　　设定Cookie并加密

　　注销：FormsAuthentication.SignOut() 方法
　　　　清理Cookie标识

　　判断：Request.IsAuthenticated判断是否登陆
　　　　检查HttpContext.User,context.User.Identity,context.User.Identity.IsAuthenticated

　　过期：FormsAuthenticationTicket为票据基类
　　　　票据基类过期时间，SlidingExpiration=true, 则会二者任何一个过期就状态无效
　　　　Cookie过期时间

　　自定义Froms认证
　　　　1.自定义用户信息类CustomerUser，实现IPrincipal接口
　　　　2.登陆时构建FormsAuthenticationTicket票据，
　　　　　　将CustomerUser实例作为Data传入
　　　　　　加密字符串，FormsAuthentication.Encrypt(ticket)
　　　　　　创建Cookie,名称=FormsAuthentication.FormsCookieName，
　　　　　　写入Cookie
　　　　3.Global.asax中加入事件处理
　　　　　　Application_AuthenticateRequest事件
　　　　　　　　将Cookie取出，解密，构建Context.User对象

　　多台服务器使用Form认证
　　　　默认情况随机密钥是本机生成存储在本地安全机构
　　　　多台通用需要配置密钥
　　　　<machineKey decryption="Auto" [Auto | DES | 3DES | AES] decryptionKey="AutoGenerate,IsolateApps" />
　　　　decryption未加密算法

　　MVC的Form验证一致，不过授权一般不再用了，改用过滤属性标识