MyException - 我的异常网
当前位置:我的异常网» ASP » ASP.NET 表单认证与角色受权

ASP.NET 表单认证与角色受权

www.MyException.Cn  网友分享于:2015-08-26  浏览:0次
ASP.NET 表单认证与角色授权

参考 : 

http://hi.baidu.com/iykqqlpugocfnqe/item/e132329bdea22acbb6253105  ASP.NET中处理请求的流程图

http://www.cnblogs.com/yao/archive/2006/06/24/434783.html

http://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html#_label3

这篇主要说说实现和逻辑流程.

所谓认证和授权是指对一个服务器资源的访问限制管理。

比如有一些文件是不公开的,只有管理人员能访问的到,这要求他们必须先"登入"。这就是认证

那么授权是在认证之后发生的事情,管理人员也有分等级,好比公司有些机密文件只有上层可以看。这就是授权.

认证和授权微软已经为我们做了很多封装,form 认证就是其中一种。

不过,这里我们先想想,在原始年代,我们要如何去实现呢?

我们都知道web所有资源都是通过http请求来访问的。显然第一步是拦截所有不公开的资源. 

第二步就是检查他们是否"登入". 

所谓的"登入"其实就是通过一个 cookie 来完成的。

如果请求没有附带指定的 cookie 那么就表示没有登入,就该阻止访问 (并跳转到登入界面).

在登入页面确认用户密码后,给予cookie,就表示登入了啦 .

第三步

通过了认证,我们必须查看这个用户的身份(或者说角色), 比如是经理,主管,还是普通员工。

进一步的验证用户是否有足够的权限(授权)来访问这个资源。

好了,其实不太难。大至少就是这样了。

以上步骤涉及到2个重要的点 : 

1. 如果拦截特定的资源请求 ? 

2. cookie 的安全性 

下面我来个一个微软封装好的例子, 一般上普通项目够用了。 

1.在web config 加上一个 authentication 

<system.web>    
  <authentication mode="Forms">
    <forms loginUrl="~/login/Default.aspx" timeout="2880" defaultUrl="~/" />
  </authentication>
</system.web>

这里用 mode 是 forms (我也只会这个)

loginUrl 是登入页面的路径 , timeout 是说cookie 的有效时间 , defaultUrl 我不清楚

2. 做一个登入页面,这里只是随便做。你明白就可以了

protected void Page_Load(object sender, EventArgs e)
{   
     
}
protected void Button1_Click(object sender, EventArgs e) //登入
{
    //set一个cookie , name and 是否要持久cookie,false的话会base on web config 的timeout  
    FormsAuthentication.SetAuthCookie("keatkeat", false);    
}
protected void Button2_Click(object sender, EventArgs e) //注销
{
    FormsAuthentication.SignOut(); 
}

3. 设定哪些文件路径需要拦截认证

  <configuration>
    <location path="securityFolder">
      <system.web>
        <authorization>
          <deny users="?"/>
        </authorization>
      </system.web>
    </location>
  </configuration>

path 指定路径,其下的所有folders files 都被限制了.

authorization 内的元素 有多种配搭模式 

<deny users="?">  基本上由 3 的东东做出来,

1. deny | allow (禁止 或者 允许)

2.users | roles | verbs ( users 用户 , roles 角色比较特别,后面我会教你如何设置一个或多个角色在一个user身上,verbs 就是http method ,GET POST 等)

3. ? | *  ( ? 代表匿名 , * 代表所有的)

所以上面这一句的解释是  -禁止匿名用户- (没登入就无法访问)

完成以上的步骤基本上就可以做到一个简单的认证授权机制了(不需要分角色的话)

那么如果我们要高级一点的呢? 

  <location path="securityFolder"> 
    <system.web>
      <authorization>     
        <allow roles="Admin,Boss"/>
        <deny users="*"/>
      </authorization>
    </system.web>
  </location>

允许角色为Admin或者Boss , 禁止所有用户

现在我们必须把用户的角色添加进用户里 (因为从上面开来,我们只给了个Name给用户)

class AuthenticateHttpModule : IHttpModule
{
    public void Dispose() { }
    public void Init(HttpApplication context)
    {
        context.AuthenticateRequest += new EventHandler(AuthenticateRequest);
    }
    private void AuthenticateRequest(object sender, EventArgs e)
    {

        HttpApplication app = (HttpApplication)sender;
        HttpContext ctx = app.Context; //获取本次Http请求的HttpContext对象  
        if (ctx.User != null)
        {
            if (ctx.Request.IsAuthenticated == true) //验证过的一般用户才能进行角色验证  
            {
                string name = ctx.User.Identity.Name;

                FormsIdentity fi = (System.Web.Security.FormsIdentity)ctx.User.Identity;
                //FormsAuthenticationTicket ticket = fi.Ticket; //取得身份验证票  
                //string userData = ticket.UserData;//从UserData中恢复role信息
                string[] roles = "Admin,zz".Split(','); //将角色数据转成字符串数组,得到相关的角色信息  
                ctx.User = new GenericPrincipal(fi, roles); //这样当前用户就拥有角色信息了
            }
        }
    }
}

这里我们要写一个 HttpModule 来完成 (记得web config 也要添加哦)

我们用 new GenericPrincipal 来添加角色进用户里,这样就可以了。 

注 : 我们这个模块是跑在微软后面的,所以我们完全不需要从cookie里面获取任何东西,直接用 context.User 就好了。

以上大概就是全部的过程了。

这里给一个自定义的例子 : 

public class AdministratorIdentity : IIdentity
{
    public string AuthenticationType { get; set; }
    public string Name { get; set; }
    public bool IsAuthenticated { get; set; }
}

public class Administrator : IPrincipal
{
    public IIdentity Identity { get; set; }
    public string name { get; set; }  //可以任意定义属性     
    public bool IsInRole(string role)
    {
        if (role == "Admin") //个种你想的到的验证手法都可以
        {
            return true;
        }
        return false;
    }
}
if (ctx.Request.IsAuthenticated == true) //验证过的一般用户才能进行角色验证  
{
    string name = ctx.User.Identity.Name;
    string type = ctx.User.Identity.AuthenticationType;
    //自定义
    ctx.User = new Administrator
    {
        name = "keatkeat",
        Identity = new AdministratorIdentity { 
            AuthenticationType = ctx.User.Identity.AuthenticationType,
            Name = "z",
            IsAuthenticated = true
        }
    };
    //原版添加 roles 的方式
    //FormsIdentity fi = (System.Web.Security.FormsIdentity)ctx.User.Identity;
    ////FormsAuthenticationTicket ticket = fi.Ticket; //取得身份验证票  
    ////string userData = ticket.UserData;//从UserData中恢复role信息
    //string[] roles = "Admin".Split(','); //将角色数据转成字符串数组,得到相关的角色信息  
    //ctx.User = new GenericPrincipal(fi, roles); //这样当前用户就拥有角色信息了
}

这样到哪里只要 Ctx.User as Administrator 就可以容易的使用啦 ^^

 

这里也提一提使用 cookie 加密的安全性问题

第一,如果有人可以从你的电脑上获取到你的cookie , 那么他就等于拥有了你所有权限了。

第二,如果他没有入侵你的电脑,他是否可以自己创建一个加密的cookie来模拟你呢?

答案是不行,因为创建cookie时,加密是配合服务器的私钥的。(好像叫对称加密)

所以呢,基本上算是安全的。 参考 : http://blog.csdn.net/fancyf/article/details/348202

 

下面我另外谈谈我的一些开发经验。

现今我们做的大部分是单页面应用,只有一个登入页面和一个主页面,其它的页面都是虚拟的。

如果是自己做 url rewrite 的话,要注意的是,请在 ResolveRequestCache(认证授权模块之后) 时才做.

以上的部分,如果你想自己实现也是完全可以的,cookie 的加密可以用微软的加密方法,你也可以继承 IPrincipal 来实现 自己的 User

也可以注册 HttpModule 拦截 AuthorizeRequest 比对路径,去sql 拿用户职位等等来做授权验证。 

还有如果你用的是 WebAPI 的话,建议要把这2者分开。以上说的拦截是针对页面资源的访问。

WebAPI 内部也有拦截认证和授权的机制。所以针对 WebAPI 的资源还是用用 WebAPI 本身的机制来管理比较妥当.

WebAPI 是支持self host,但是如果我们是使用IIS又贪方便的话,我们也可以直接用上面的form认证。

所以的API请求依然会通过IIS的 pipe,到了API controller ,User 依然是我们的 context.User 

如果遇到是 self host 的话,其实也可以用上面的概念来做。只不过不使用cookie 改成使用 http header 来替代。

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(2, loginName, DateTime.Now, DateTime.Now.AddDays(1), true, data);
string cookieValue = FormsAuthentication.Encrypt(ticket);
FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(cookieValue);

这个加密解密做好其实原理依旧是通的啦。 

 

总结 : 

简单的说 认证与授权 ,不外乎就是  请求时附上身份,响应前验证身份。 

文章评论

程序员必看的十大电影
程序员必看的十大电影
每天工作4小时的程序员
每天工作4小时的程序员
我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
程序员和编码员之间的区别
程序员和编码员之间的区别
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
代码女神横空出世
代码女神横空出世
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
老美怎么看待阿里赴美上市
老美怎么看待阿里赴美上市
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
Java程序员必看电影
Java程序员必看电影
一个程序员的时间管理
一个程序员的时间管理
鲜为人知的编程真相
鲜为人知的编程真相
程序员的鄙视链
程序员的鄙视链
程序员都该阅读的书
程序员都该阅读的书
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
老程序员的下场
老程序员的下场
那些争议最大的编程观点
那些争议最大的编程观点
程序员应该关注的一些事儿
程序员应该关注的一些事儿
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
编程语言是女人
编程语言是女人
10个调试和排错的小建议
10个调试和排错的小建议
为啥Android手机总会越用越慢?
为啥Android手机总会越用越慢?
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
旅行,写作,编程
旅行,写作,编程
总结2014中国互联网十大段子
总结2014中国互联网十大段子
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
程序员的一天:一寸光阴一寸金
程序员的一天:一寸光阴一寸金
中美印日四国程序员比较
中美印日四国程序员比较
为什么程序员都是夜猫子
为什么程序员都是夜猫子
我的丈夫是个程序员
我的丈夫是个程序员
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
我是如何打败拖延症的
我是如何打败拖延症的
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
 程序员的样子
程序员的样子
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
Java 与 .NET 的平台发展之争
Java 与 .NET 的平台发展之争
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
如何成为一名黑客
如何成为一名黑客
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
漫画:程序员的工作
漫画:程序员的工作
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有