c# - Forms Authentication 理解 context.user.identity

Question

由于有关此过程的文档非常模糊和令人困惑(或陈旧)，我想验证我是否正确地执行了操作并且没有遗漏任何步骤。

我正在尝试创建一个安全的登录系统，该系统在浏览器关闭时过期。

-- 在我的 web.config 中我有以下内容 --

<authentication mode="Forms">
      <forms loginUrl="~/Login.aspx" defaultUrl="Index.aspx" name=".ASPXFORMSAUTH" timeout="100" />
    </authentication>
    <authorization>
      <allow users="?" />
    </authorization>
    <machineKey decryption="AES" validation="SHA1" validationKey.......... />

所以我有一个带有用户名/密码文本框和这个按钮的登录表单:

<asp:Button ID="LoginButton" runat="Server" OnClick="Login_Authenticate" Text="Sign in" />

在 Login_Authenticate 内部，我执行以下操作:

protected void Login_Authenticate(object sender, EventArgs e){
string userName = UserName.Text;
string password = Password.Text;

bool Authenticated = false;

// Here's code that makes sure that Username and Password is CORRECT
if(AuthClass.Authenticate(userName, password)){
 Authenticated = true;
}
// error checking does happen here.

if (Authenticated)
{
  FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, userName, DateTime.Now, DateTime.Now.AddMinutes(30), rememberUserName, String.Empty, FormsAuthentication.FormsCookiePath);
  string encryptedCookie = FormsAuthentication.Encrypt(ticket);
  HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedCookie);
  cookie.Expires = DateTime.Now.AddMinutes(30);
  Response.Cookies.Add(cookie);
  //FormsAuthentication.RedirectFromLoginPage(userName, false);

  Response.Redirect("MainPage.aspx");
}
}

--- 在 MasterPage.master.cs 中，我在 Page_Init() 中进行了以下检查 ---

if (Context.User.Identity.IsAuthenticated)
    {
      int userid = (int)Session["userid"];
      if (userid == null)
      {
        userid = GetUserID(Context.User.Identity.Name);
        if (userid != null)
        {
          Session["userid"] = userid;
        }
      }
    }

编辑:--- 全局.ASAX ;一些我不太确定的代码是否正确或知道它的作用

protected void Application_AuthenticateRequest(object sender, EventArgs e)
    {
        // look if any security information exists for this request
        if (HttpContext.Current.User != null)
        {
            // see if this user is authenticated, any authenticated cookie (ticket) exists for this user
            if (HttpContext.Current.User.Identity.IsAuthenticated)
            {
                // see if the authentication is done using FormsAuthentication
                if (HttpContext.Current.User.Identity is FormsIdentity)
                {
                    // Get the roles stored for this request from the ticket
                    // get the identity of the user
                    FormsIdentity identity = (FormsIdentity)HttpContext.Current.User.Identity;
                    //Get the form authentication ticket of the user
                    FormsAuthenticationTicket ticket = identity.Ticket;
                    //Get the roles stored as UserData into ticket
                    string[] roles = { };
                    //Create general prrincipal and assign it to current request

                    HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(identity, roles);
                }
            }
        }
    }

--- 从那时起，在每个页面上，我都使用 Session userid 来收集用户信息和内容，并确保用户具有适当的身份验证和组角色权限。

这一切都正确吗？还是我必须在某处解密任何内容？

这足以使用户登录安全吗？还是我不应该为表单例份验证而烦恼并找到自己的方法来制作自己的 cookie 并自己管理它？

Answer 1

您的代码编写登录的方式将在浏览器 session 中持续存在。这可能有助于了解正在发生的事情的基础知识。

对于基于 cookie 的身份验证方法，实际上有三个操作:

1) 登录 - 验证用户的凭据并在他们的浏览器上创建和存储一个 cookie。

2) 注销 - 只需从浏览器中删除 cookie(通过使 cookie 过期或将其删除)

3) 每个请求验证(即您的 Application_AuthenticateRequest 的部分)- 检查 cookie 是否存在，如果存在，获取用户的身份和角色并设置 HttpContext.Current.User。

通常，FormsAuthentication 模块对您隐藏了其中的大部分内容。看起来您的代码正在尝试使用 FormAuthentication 的某些元素(例如 FormsAuthenticationTicket 和 FormsIdentity)。只要您得到想要的东西就可以了。

您的 Login_Authenticate 方法看起来不错，除了您在 cookie 上设置了过期时间。这将使 cookie 持续存在，即使您关闭并重新打开浏览器也是如此。由于这不是您想要的行为，因此我不会设置 cookie 过期时间。设置此项就像选中“记住我”复选框。

每次从您的应用程序提供页面时，Application_AuthenticateRequest 中的代码都会运行。它的主要工作是设置 HttpContext.Current.User。通常，如果没有用户登录，则 User 为 null 或 Anonymous 用户。如果用户已登录，这应该代表您的用户。

如果您正在做这三件事，那么您可以在代码中的任何位置引用 HttpContext.Current.User 来决定要显示的信息级别。例如，如果您想要将页面限制为仅管理员访问，您可以调用 HttpContext.Current.Users.IsInRole("Administrators")，如果调用返回 false，则将他们重定向到页面之外。

希望这对您有所帮助。