个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
更新:
我仅通过一些相当简单的更改就解决了这个问题,请参阅下面我的 self 回答。
原始问题:
我有一个同时使用 Windows 身份验证和表单例份验证的 ASP.NET Web 应用程序。 Forms 身份验证被定义为 Web.config 中的身份验证模式(请参阅下面的摘录)。在 IIS 7 中,在 Web 应用程序(又名虚拟目录)级别,禁用匿名身份验证,并启用 Windows 身份验证。
在 .NET 1.1 到 .NET 4.0 和 IIS6/7/7.5 中,在通过 Windows 身份验证成功进行身份验证之后,但在通过表单例份验证进行身份验证之前(创建表单例份验证票证/cookie),Global.Application_AuthenticateRequest() 发现 Request.IsAuthenticated 为 false。一旦 Request.IsAuthenticated 变为 true,System.Web.HttpContext.Current.User 的类型就是 System.Security.Principal。 GenericPrincipal (并且 User.Identity 是 System.Web.Security.FormsIdentity)
在 IIS7 服务器上安装 .NET 4.5 后,此行为发生了变化。未对 Web.config 文件进行任何更改,也未对 IIS 进行手动更改。我所做的唯一更改是安装 .NET 4.5。卸载 4.5 并重新安装 4.0 后,该行为恢复为“正常”。
我注意到的不同行为是,在通过 Windows 成功进行身份验证之后,但在通过表单进行身份验证之前(尚未创建表单例份验证票证),Application_AuthenticateRequest 现在显示 Request.IsAuthenticated 为true。此外,System.Web.HttpContext.Current.User.Identity 现在是 System.Security.Principal.WindowsIdentity(而不是 FormsIdentity)。
Request.IsAuthenticated = true 方面不会胜过表单例份验证?)我已经搜索 Msft 文档几个小时了..他们所有关于混合 Windows 和 Forms auth 的信息似乎已经过时了好几年(2004 年左右),并且关于 .NET 4.5 更改的详细信息在这个特定的情况下相当稀疏面积。
摘自 web.config:(是的,default.aspx 是故意的,在本例中我不使用 login.aspx,但它已经工作了 5 年多,并且在所有以前的 .net 版本中都运行良好)。
<authentication mode="Forms">
<forms name=".ASPXAUTH" protection="All" timeout="200" loginUrl="default.aspx" defaultUrl="~/default.aspx" />
</authentication>
摘自 Global.asax.cs:
protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
if (Request.IsAuthenticated)
{
// stuff for authenticated users
// prior to upgrading to .NET 4.5, this block was not hit until
// after the forms authentication ticket was created successfully
// (after validating user and password against app-specific database)
}
else
{
// stuff for unauthenticated users
// prior to upgrading to .NET 4.5, this block was hit
// AFTER windows auth passed but BEFORE forms auth passed
}
}
最佳答案
回复:有人可以解释一下为什么这是不同的吗?
我注意到 4.5 中 System.Web.Hosting.IIS7WorkerRequest.SynchronizeVariables() 发生了变化。区别如下(源码来自reflector):
在 4.0 中,SynchronizeVariables() 仅在启用 Windows 身份验证的情况下同步 IPrincipal/IHttpUser。
internal void SynchronizeVariables(HttpContext context)
{
...
if (context.IsChangeInUserPrincipal && WindowsAuthenticationModule.IsEnabled)
// the second condition checks if authentication.Mode == AuthenticationMode.Windows
{
context.SetPrincipalNoDemand(this.GetUserPrincipal(), false);
}
...
}
在 4.5 中,如果启用了任何身份验证 (AuthenticationConfig.Mode != AuthenticationMode.None),SynchronizeVariables() 会同步 IPrincipal/IHttpUser
[PermissionSet(SecurityAction.Assert, Unrestricted=true)]
internal void SynchronizeVariables(HttpContext context)
{
...
if (context.IsChangeInUserPrincipal && IsAuthenticationEnabled)
{
context.SetPrincipalNoDemand(this.GetUserPrincipal(), false);
}
...
}
private static bool IsAuthenticationEnabled
{
get
{
if (!s_AuthenticationChecked)
{
bool flag = AuthenticationConfig.Mode != AuthenticationMode.None;
s_AuthenticationEnabled = flag;
s_AuthenticationChecked = true;
}
return s_AuthenticationEnabled;
}
}
我怀疑上述更改是身份验证中行为更改的根本原因。
更改之前:ASP.NET 不会与 IIS 同步来获取用户的 Windows 身份(尽管 IIS 确实进行了 Windows 身份验证)。由于没有进行身份验证,ASP.NET 仍然可以进行表单例份验证。
更改后:ASP.NET 与 IIS 同步以获取用户的 Windows 身份。因为设置了 context.Current.User,所以 ASP.NET 不会进行表单例份验证。
关于asp.net - 在 .NET 4.5 中混合 Windows 和表单例份验证 : how to keep Request. IsAuthenticated = false 直到创建表单例份验证票证之后?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20863108/
24
4
0
在 MVC4 应用程序中,在 Controller 逻辑中我想检查用户是否已登录。 我应该使用: User.Identity.IsAuthenticated 或者: WebSecurity.IsAut
我有一个 IsAuthenticated 方法,它有一个复杂的参数类型(我从 play2 的 zentasks 示例中复制了它): def IsAuthenticated(f: => String =
用户提交登录 POST 数据。 Passport.js 进行身份验证。 req.isAuthenticated() 为 true。 将用户从登录路径重定向至主页 在主页路由中,req.isAuthen
我开始学习node/express js,并且我使用passport制作了一个登录系统,但是我想在我的系统中制作一个成员(member)页面只能供已经登录的用户,经过一番研究我找到了答案here ,并
我开始学习node/express js,并且我使用passport制作了一个登录系统,但是我想在我的系统中制作一个成员(member)页面只能供已经登录的用户,经过一番研究我找到了答案here ,并
我正在使用 MVC 格式创建网站。现在它所做的只是从 SQL 服务器管理用户。我现在要做的是让用户登录,然后能够管理用户。它应该从登录页面转到帐户索引,但我只希望经过身份验证的用户可以查看此页面。它工
我正在尝试修复以下错误: /home/ubuntu/workspace/src/util/utils.js:2 if (req.isAuthenticated()) { ^ T
我已经实现了passport.js,登录时我将passport.authenticated()函数放在中间件中。 app.post('/api/v1/login', function
server.ext('onRequest', (request, reply) => { request.context = { token: request.headers['X-AC
这可能是个愚蠢的问题,但我在 Google 上搜索得很辛苦,却找不到答案。 我正在创建一个数据库位于另一个大陆的网站,因此速度是一个至关重要的问题。 据我了解, WebSecurity.Login(
我有一个关于 ASP.NET 身份提供程序的问题。我做了一个系统,你可以在其中对用户和角色执行 CRUD 操作,尽管我遇到了一个问题。如果我要删除一个已经通过身份验证(登录)的用户,他仍然可以在网站上
MSDN 代码示例说明:以下代码示例使用 IsAuthenticated 属性来确定当前请求是否已通过身份验证。如果尚未通过身份验证,请求将被重定向到另一个页面,用户可以在该页面中将其凭据输入到 We
我有一个 HttpModule实现了应该限制对 /courses/ 的访问我网站的目录,但有一个主要问题。 Request.IsAuthenticated总是 false . 这是代码: using
我的 Express 应用程序调用 request.isAuthenticated() 方法。但是,我不知道它检查什么来确定它是否经过身份验证。我的应用需要通过 OIDC 进行身份验证。如何告诉 is
我试图在我的 Controller 中调用 isAuthenticated 方法,但它告诉我不是一个函数。下面是我的代码片段。 Controller (function() { 'use strict
当我登录时,我已通过身份验证,但当我切换到另一个页面时,req.isAuthenticated 返回 false,并且我位于登录面板上。第二件事是,当我登录时,我不断收到错误“发送后无法设置 head
我使用 passportjs 的身份验证功能将始终返回 false,即使用户已经存在,它也将始终重定向到登录页面,这会覆盖我所有的身份验证路由,因此当我使用有效的用户凭据登录或创建新的用户,默认行为是
我已经寻找了一段时间,但找不到明确的文档来源。当我搜索这些内容时,第一个 Google 结果是 StackOverflow。 还有类似的中间件功能吗? 最佳答案 虽然在任何容易找到的地方都没有明确记录
我想为 Play2 Framework 应用创建自定义身份验证方法。我正在 Scala 和 Play 中尝试——而且我对这两者都是新手。 在 zentask 示例中,Trait Secured 中有一
我使用 passportjs 的身份验证功能将始终返回 false,即使用户已经存在,它也将始终重定向到登录页面,这会覆盖我所有的身份验证路由,因此当我使用有效的用户凭据登录或创建新的用户,默认行为是
我是一名优秀的程序员,十分优秀!