@xuxuzhaozhao
2017-12-20T07:19:09.000000Z
字数 10608
阅读 2397
Asp.Net身份认证
Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活。
Forms
验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cookie一起发送到服务端。服务端上的授权设置就可以根据不同目录对不同用户的访问授权进行控制了。
问题来了,在实际是用中我们往往需要的是基于角色,或者说基于用户组的验证和授权。对一个网站来说,一般的验证授权的模式应该是这样的:根据实际需求把用户分成不同的身份,就是角色,或者说是用户组,验证过程不但要验证这个用户本身的身份,还要验证它是属于哪个角色的。而访问授权是根据角色来设置的,某些角色可以访问哪些资源,不可以访问哪些资源等等。要是基于用户来授权访问将会是个很不实际的做法,用户有很多,还可能随时的增减,不可能在配置文件中随时的为不断增加的新用户去增加访问授权的。
下面大概的看一下Forms的过程。
要采用Forms身份验证,先要在应用程序根目录中的Web.config中做相应的设置:
<authentication mode="forms"><forms name=".ASPXAUTH " loginUrl="/login.aspx" timeout="30" path= "/"></forms></authentication>
其中<authentication mode= "forms"> 表示本应用程序采用Forms验证方式。
1. 标签中的name表示指定要用于身份验证的 HTTP Cookie。默认情况下,name 的值是 .ASPXAUTH。采用此种方式验证用户后,以此用户的信息建立一个FormsAuthenticationTicket类型的身份验证票,再加密序列化为一个字符串,最后将这个字符串写到客户端的name指定名字的Cookie中.一旦这个Cookie写到客户端后,此用户再次访问这个web应用时会将连同Cookie一起发送到服务端,服务端将会知道此用户是已经验证过的.
再看一下身份验证票都包含哪些信息呢,我们看一下FormsAuthenticationTicket类:
CookiePath: 返回发出 Cookie 的路径。注意,窗体的路径设置为 /。由于窗体区分大小写,这是为了防止站点中的 URL 的大小写不一致而采取的一种保护措施。这在刷新 Cookie 时使用Expiration: 获取 Cookie 过期的日期/时间。IsPersistent: 如果已发出持久的 Cookie,则返回 true。否则,身份验证 Cookie 将限制在浏览器生命周期范围内。IssueDate: 获取最初发出 Cookie 的日期/时间。Name: 获取与身份验证 Cookie 关联的用户名。UserData :获取存储在 Cookie 中的应用程序定义字符串。Version: 返回字节版本号供将来使用。
loginUrl指定如果没有找到任何有效的身份验证 Cookie,为登录将请求重定向到的 URL。默认值为 default.aspx。loginUrl指定的页面就是用来验证用户身份的,一般此页面提供用户输入用户名和密码,用户提交后由程序来根据自己的需要来验证用户的合法性(大多情况是将用户输入信息同数据库中的用户表进行比较),如果验证用户有效,则生成同此用户对应的身份验证票,写到客户端的Cookie,最后将浏览器重定向到用户初试请求的页面.一般是用FormsAuthentication.RedirectFromLoginPage 方法来完成生成身份验证票,写回客户端,浏览器重定向等一系列的动作.
public static void RedirectFromLoginPage( string userName, bool createPersistentCookie, string strCookiePath );
其中:
userName: 就是此用户的标示,用来标志此用户的唯一标示,不一定要映射到用户账户名称.createPersistentCookie: 标示是否发出持久的 Cookie。若不是持久Cookie,Cookie的有效期Expiration属性有当前时间加上web.config中timeout的时间,每次请求页面时,在验证身份过程中,会判断是否过了有效期的一半,要是的话更新一次cookie的有效期;若是持久cookie,Expiration属性无意义,这时身份验证票的有效期有cookie的Expires决定,RedirectFromLoginPage方法给Expires属性设定的是50年有效期。strCookiePath: 标示将生成的Cookie的写到客户端的路径,身份验证票中保存这个路径是在刷新身份验证票Cookie时使用(这也是生成Cookie的Path),若没有strCookiePath 参数,则使用web.config中 path属性的设置。这里可以看到,此方法参数只有三个,而身份验证票的属性有七个,不足的四个参数是这么来的:IssueDate: Cookie发出时间由当前时间得出,Expiration:过期时间由当前时间和下面要说的<forms>标签中timeout参数算出。此参数对非持久性cookie有意义。UserData: 这个属性可以用应用程序写入一些用户定义的数据,此方法没有用到这个属性,只是简单的将此属性置为空字符串,请注意此属性,在后面我们将要使用到这个属性。Version: 版本号由系统自动提供.
RedirectFromLoginPage方法生成生成身份验证票后,会调用FormsAuthentication.Encrypt 方法,将身份验证票加密为字符串,这个字符串将会是以.ASPXAUTH为名字的一个Cookie的值。这个Cookie的其它属性的生成:Domain,Path属性为确省值,Expires视createPersistentCookie参数而定,若是持久cookie,Expires设为50年以后过期;若是非持久cookie,Expires属性不设置。
生成身份验证Cookie后,将此Cookie加入到Response.Cookies中,等待发送到客户端。
最后RedirectFromLoginPage方法调用FormsAuthentication.GetRedirectUrl 方法获取到用户原先请求的页面,重定向到这个页面。
3. 标签中的timeout和path,是提供了身份验证票写入到Cookie过期时间和默认路径。
以上就是基于Forms身份验证的过程,它完成了对用户身份的确认。下面介绍基于Forms身份验证的访问授权。
验证了身份,是要使用这个身份,根据不同的身份我们可以进行不同的操作,处理,最常见的就是对不同的身份进行不同的授权,Forms验证就提供这样的功能。Forms授权是基于目录的,可以针对某个目录来设置访问权限,比如,这些用户可以访问这个目录,那些用户不能访问这个目录。
同样,授权设置是在你要控制的那个目录下的web.config文件中来设置:
<authorization><allow users="comma-separated list of users"roles="comma-separated list of roles"verbs="comma-separated list of verbs" /><deny users="comma-separated list of users"roles="comma-separated list of roles"verbs="comma-separated list of verbs" /></authorization><allow>标签表示允许访问,其中的属性
<authentication mode="forms"><forms name=".ASPXAUTH " loginUrl="/login.aspx" timeout="30" path= "/"></forms></authentication>
/login.aspx验证用户合法性页面中,在验证了用户的合法性后,还要有个取得此用户属于哪些role的过程,这个看各个应用的本身如何设计的了,一般是在数据库中会有个use_role表,可以从数据库中获得此用户属于哪些role,在此不深究如何去获取用户对应的role,最后肯定能够获得的此用户对应的所有的role用逗号分割的一个字符串。
在上面的非基于角色的方法中,我们用了FormsAuthentication.RedirectFromLoginPage 方法来完成生成身份验证票,写回客户端,浏览器重定向等一系列的动作。这个方法会用一些确省的设置来完成一系列的动作,在基于角色的验证中我们不能用这一个方法来实现,要分步的做,以便将一些定制的设置加进来:
1. 首先要根据用户标示,和用户属于的角色的字符串来创建身份验证票
public FormsAuthenticationTicket(int version, //设为1string name, //用户标示DateTime issueDate, //Cookie 的发出时间, 设置为 DateTime.NowDateTime expiration, //过期时间bool isPersistent, //是否持久性(根据需要设置,若是设置为持久性,在发出cookie时,cookie的Expires设置一定要设置)string userData, //这里用上面准备好的用逗号分割的role字符串string cookiePath // 设为"/",这要同发出cookie的路径一致,因为刷新cookie要用这个路径);FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket (1,"kent",DateTime.Now, DateTime.Now.AddMinutes(30), false,UserRoles,"/") ;
string HashTicket = FormsAuthentication.Encrypt (Ticket) ; HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket) ; FormsAuthentication.FormsCookieName 是用来获取web.config中设置的身份验证cookie的名字,缺省为" .ASPXAUTH".
private void Buttonlogin_Click(object sender, System.EventArgs e){string user = TextBoxUser.Text; //读取用户名string password = TextBoxPassword.Text; //读取密码if(Confirm(user,password) == true) //confirm方法用来验证用户合法性的{string userRoles = UserToRole(user); //调用UserToRole方法来获取role字符串FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket (1,user,DateTime.Now, DateTime.Now.AddMinutes(30), false,userRoles,"/") ;//建立身份验证票对象string HashTicket = FormsAuthentication.Encrypt (Ticket) ; //加密序列化验证票为字符串HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket) ;//生成CookieContext.Response.Cookies.Add (UserCookie) ; //输出CookieContext.Response.Redirect (Context.Request["ReturnUrl"]) ; // 重定向到用户申请的初始页面}else{// 用户身份未被确认时的代码}}//此方法用来验证用户合法性的private bool Confirm(string user,string password){//相应的代码}//此方法用来获得的用户对应的所有的role用逗号分割的一个字符串private string UserToRole(string user){//相应的代码}
二 基于角色访问授权
这里我们要做的是,将客户端保存的身份验证票中UserData中保存的表示角色的信息恢复到在服务端表示用户身份的GenericPrincipal对象中(记住,原来的验证过程中, GenericPrincipal对象只包含了用户信息,没有包含role信息)
一个Http请求的过程中,HttpApplication.AuthenticateRequest事件表示安全模块已建立用户标识,就是此用户的身份在web端已经建立起来, 在这个事件之后我们就可以获取用户身份信息了.
在HttpApplication.ResolveRequestCache事件之前,asp.net开始取得用户请求的页面,建立HttpHandler控制点,这时就已经要验证用户的权限了,所以恢复用户角色的工作只能在HttpApplication.AuthenticateRequest事件和HttpApplication.ResolveRequestCache事件之间的过程中做.
我们选择Application_AuthorizeRequest事件中做这个工作,可以在global.asax文件中处理HttpApplication的所有的事件,代码如下:
protected void Application_AuthorizeRequest(object sender, System.EventArgs e){HttpApplication App = (HttpApplication) sender;HttpContext Ctx = App.Context ; //获取本次Http请求相关的HttpContext对象if (Ctx.Request.IsAuthenticated == true) //验证过的用户才进行role的处理{FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份验证票string[] Roles = Ticket.UserData.Split (',') ; //将身份验证票中的role数据转成字符串数组Ctx.User = new GenericPrincipal (Id, Roles) ; //将原有的Identity加上角色信息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息}}
访问者同时具有了user和role信息,就可以据此在web.config中用role来控制用户的访问权限了.
FormsAuthenticationTicket 基于 FormS 验证
构建基于forms的验证机制过程如下:
1,设置IIS为可匿名访问和asp.net web.config中设置为form验证
2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用)
3,使用FormsAuthenticationTicket创建一个Cookie并回发到客户端,并存储
角色到票据中,如:
FormsAuthentication.SetAuthCookie(Username,true | false)cookies保存时间:HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName].Expires=DateTime.Now.AddDays(1)
如果需要存储角色,采用:
FormsAuthenticationTicket authTicket = newFormsAuthenticationTicket(1, // 版本号。txtUserName.Text, // 与身份验证票关联的用户名。DateTime.Now, // Cookie 的发出时间。DateTime.Now.AddMinutes(20),// Cookie 的到期日期。false, // 如果 Cookie 是持久的,为 true;否则为 false。roles ); // 将存储在 Cookie 中的用户定义数据。roles是一个角色字符串数组string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密存入CookieHttpCookie authCookie =new HttpCookie(FormsAuthentication.FormsCookieName,encryptedTicket);Response.Cookies.Add(authCookie);
4,在Application_AuthenticateRequest事件中处理程序中(Global.asax)中,使用
票创建IPrincipal对象并存在HttpContext.User中
代码:
HttpCookie authCookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName];FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);//解密string[] roles = authTicket.UserData.Split(new char[]{';'});//根据存入时的格式分解,;或|....Context.User = new GenericPrincipal(Context.User.Identity, Roles);//存到HttpContext.User中
判断某个角色验证
HttpContext.Current.User.IsInRole(roles)
具体实现
Web.config文件
加入节点,name为COOKIE名称,loginUrl为没有通过验证跳转的地址
<system.web><authentication mode="Forms"><forms name="Hstear"loginUrl="login.aspx" protection="All" path="/" timeout="40"/></authentication></system.web>
设置目录访问 path为目录名,roles为票据中的角色名
发现网上的都说要单独一个WEB.CONFIG文件放在目录中,但实际在根目录中设置即可,单个文件也一样
<location path="Admin"><system.web><authorization><allow roles="admin"/><deny users="*"/></authorization></system.web></location>
Global.asax文件
Application_AuthenticateRequest事件中加入
protected void Application_AuthenticateRequest(Object sender, EventArgs e){string cookieName = FormsAuthentication.FormsCookieName;HttpCookie authCookie = Context.Request.Cookies[cookieName];FormsAuthenticationTicket authTicket = null;try{authTicket = FormsAuthentication.Decrypt(authCookie.Value);}catch(Exception ex){return;}string[] roles = authTicket.UserData.Split(new char[]...{','});//如果存取多个角色,我们把它分解FormsIdentity id = new FormsIdentity( authTicket );GenericPrincipal principal = new GenericPrincipal(id, roles);Context.User =principal;//存到HttpContext.User中}