Asp.net的身份驗證有有三種,分別是"Windows | Forms | Passport",其中又以Forms驗
證用的最多,也最靈活。
Forms 驗證方式對基于用戶的驗證授權提供了很好的支持,可以通過一個登錄頁面驗證
用戶的身份,將此用戶的身份發回到客戶端的Cookie,之后此用戶再訪問這個web應用就
會連同這個身份Cookie一起發送到服務端。服務端上的授權設置就可以根據不同目錄對不
同用戶的訪問授權進行控制了。
問題來了,在實際是用中我們往往需要的是基于角色,或者說基于用戶組的驗證和授權
。對一個網站來說,一般的驗證授權的模式應該是這樣的:根據實際需求把用戶分成不同
的身份,就是角色,或者說是用戶組,驗證過程不但要驗證這個用戶本身的身份,還要驗
證它是屬于哪個角色的。而訪問授權是根據角色來設置的,某些角色可以訪問哪些資源,
不可以訪問哪些資源等等。要是基于用戶來授權訪問將會是個很不實際的做法,用戶有很
多,還可能隨時的增減,不可能在配置文件中隨時的為不斷增加的新用戶去增加訪問授權
的。
下面大概的看一下Forms的過程。
Forms身份驗證基本原理:
一 身份驗證
要采用Forms身份驗證,先要在應用程序根目錄中的Web.config中做相應的設置:
<authentication mode="forms">
<forms name=".ASPXAUTH " loginUrl="/login.aspx" timeout="30" path= "/">
</forms>
</authentication>
其中<authentication mode= "forms"> 表示本應用程序采用Forms驗證方式。
1. <forms>標簽中的name表示指定要用于身份驗證的 HTTP Cookie。默認情況下,name
的值是 .ASPXAUTH。采用此種方式驗證用戶后,以此用戶的信息建立一個
FormsAuthenticationTicket類型的身份驗證票,再加密序列化為一個字符串,最后將這個
字符串寫到客戶端的name指定名字的Cookie中.一旦這個Cookie寫到客戶端后,此用戶再次
訪問這個web應用時會將連同Cookie一起發送到服務端,服務端將會知道此用戶是已經驗證
過的.
再看一下身份驗證票都包含哪些信息呢,我們看一下FormsAuthenticationTicket類:
CookiePath: 返回發出 Cookie 的路徑。注意,窗體的路徑設置為 /。由于窗體區分
大小寫,這是為了防止站點中的 URL 的大小寫不一致而采取的一種保護措施。這在刷新
Cookie 時使用
Expiration: 獲取 Cookie 過期的日期/時間。
IsPersistent: 如果已發出持久的 Cookie,則返回 true。否則,身份驗證 Cookie
將限制在瀏覽器生命周期范圍內。
IssueDate: 獲取最初發出 Cookie 的日期/時間。
Name: 獲取與身份驗證 Cookie 關聯的用戶名。
UserData :獲取存儲在 Cookie 中的應用程序定義字符串。
Version: 返回字節版本號供將來使用。
2. <forms>標簽中的loginUrl指定如果沒有找到任何有效的身份驗證 Cookie,為登錄
將請求重定向到的 URL。默認值為 default.aspx。loginUrl指定的頁面就是用來驗證用
戶身份的,一般此頁面提供用戶輸入用戶名和密碼,用戶提交后由程序來根據自己的需要來
驗證用戶的合法性(大多情況是將用戶輸入信息同數據庫中的用戶表進行比較),如果驗證
用戶有效,則生成同此用戶對應的身份驗證票,寫到客戶端的Cookie,最后將瀏覽器重定向
到用戶初試請求的頁面.一般是用FormsAuthentication.RedirectFromLoginPage 方法來
完成生成身份驗證票,寫回客戶端,瀏覽器重定向等一系列的動作.
public static void RedirectFromLoginPage( string userName, bool
createPersistentCookie, string strCookiePath );
其中:
userName: 就是此用戶的標示,用來標志此用戶的唯一標示,不一定要映射到用戶賬戶
名稱.
createPersistentCookie: 標示是否發出持久的 Cookie。
若不是持久Cookie,Cookie的有效期Expiration屬性有當前時間加上web.config中
timeout的時間,每次請求頁面時,在驗證身份過程中,會判斷是否過了有效期的一半,
要是的話更新一次cookie的有效期;若是持久cookie,Expiration屬性無意義,這時身份
驗證票的有效期有cookie的Expires決定,RedirectFromLoginPage方法給Expires屬性設
定的是50年有效期。
strCookiePath: 標示將生成的Cookie的寫到客戶端的路徑,身份驗證票中保存這個路
徑是在刷新身份驗證票Cookie時使用(這也是生成Cookie的Path),若沒有
strCookiePath 參數,則使用web.config中 path屬性的設置。
這里可以看到,此方法參數只有三個,而身份驗證票的屬性有七個,不足的四個參數是這
么來的:
IssueDate: Cookie發出時間由當前時間得出,
Expiration:過期時間由當前時間和下面要說的<forms>標簽中timeout參數算出。此參
數對非持久性cookie有意義。
UserData: 這個屬性可以用應用程序寫入一些用戶定義的數據,此方法沒有用到這個屬
性,只是簡單的將此屬性置為空字符串,請注意此屬性,在后面我們將要使用到這個屬性。
Version: 版本號由系統自動提供.
RedirectFromLoginPage方法生成生成身份驗證票后,會調用
FormsAuthentication.Encrypt 方法,將身份驗證票加密為字符串,這個字符串將會是以
.ASPXAUTH為名字的一個Cookie的值。這個Cookie的其它屬性的生成:Domain,Path屬性
為確省值,Expires視createPersistentCookie參數而定,若是持久cookie,Expires設為
50年以后過期;若是非持久cookie,Expires屬性不設置。
生成身份驗證Cookie后,將此Cookie加入到Response.Cookies中,等待發送到客戶端。
最后RedirectFromLoginPage方法調用FormsAuthentication.GetRedirectUrl 方法獲取
到用戶原先請求的頁面,重定向到這個頁面。
3. <forms>標簽中的timeout和path,是提供了身份驗證票寫入到Cookie過期時間和默認
路徑。
以上就是基于Forms身份驗證的過程,它完成了對用戶身份的確認。下面介紹基于Forms
身份驗證的訪問授權。
二 訪問授權
驗證了身份,是要使用這個身份,根據不同的身份我們可以進行不同的操作,處理,
最常見的就是對不同的身份進行不同的授權,Forms驗證就提供這樣的功能。Forms授權是
基于目錄的,可以針對某個目錄來設置訪問權限,比如,這些用戶可以訪問這個目錄,那
些用戶不能訪問這個目錄。
同樣,授權設置是在你要控制的那個目錄下的web.config文件中來設置:
<authorization>
<allow users="comma-separated list of users"
roles="comma-separated list of roles"
verbs="comma-separated list of verbs" />
<deny users="comma-separated list of users"
roles="comma-separated list of roles"
verbs="comma-separated list of verbs" />
</authorization>
<allow>標簽表示允許訪問,其中的屬性
1. users:一個逗號分隔的用戶名列表,這些用戶名已被授予對資源的訪問權限。問號
(?) 允許匿名用戶;星號 (*) 允許所有用戶。
2. roles:一個逗號分隔的角色列表,這些角色已被授予對資源的訪問權限。
3. verbs:一個逗號分隔的 HTTP 傳輸方法列表,這些 HTTP 傳輸方法已被授予對資源
的訪問權限。注冊到 ASP.NET 的謂詞為 GET、HEAD、POST 和 DEBUG。
<deny>標簽表示不允許訪問。其中的屬性同上面的。
在運行時,授權模塊迭代通過 <allow> 和 <deny> 標記,直到它找到適合特定用戶的
第一個訪問規則。然后,它根據找到的第一項訪問規則是 <allow> 還是 <deny> 規則來
允許或拒絕對 URL 資源的訪問。Machine.config 文件中的默認身份驗證規則是 <allow
users="*"/>,因此除非另行配置,否則在默認情況下會允許訪問。
那么這些user 和roles又是如何得到的呢?下面看一下授權的詳細過程:
1. 一旦一個用戶訪問這個網站,就行登錄確認了身份,身份驗證票的cookie也寫到了
客戶端。之后,這個用戶再次申請這個web的頁面,身份驗證票的cookie就會發送到服務
端。在服務端,asp.net為每一個http請求都分配一個HttpApplication對象來處理這個請
求,在HttpApplication.AuthenticateRequest事件后,安全模塊已建立用戶標識,就是
此用戶的身份在web端已經建立起來,這個身份完全是由客戶端發送回來的身份驗證票的
cookie建立的。
2. 用戶身份在HttpContext.User 屬性中,在頁面中可以通過Page.Context 來獲取同
這個頁面相關的HttpContext對象。對于Forms驗證,HttpContext.User屬性是一個
GenericPrincipal類型的對象,GenericPrincipal只有一個公開的屬性Identity,有個私
有的m_role屬性,是string[]類型,存放此用戶是屬于哪些role的數組,還有一個公開的
方法IsInRole(string role),來判斷此用戶是否屬于某個角色。
由于身份驗證票的cookie中根本沒有提供role這個屬性,就是說Forms身份驗證票沒有
提供此用戶的role信息,所以,對于Forms驗證,在服務端得到的GenericPrincipal 用戶
對象的m_role屬性永遠是空的。
3. GenericPrincipal. Identity 屬性是一個FormsIdentity類型的對象,這個對象有
個Name屬性,就是此用戶的標示,訪問授權就是將此屬性做為user來進行授權驗證的。
FormsIdentity還有一個屬性,就是Ticket屬性,此屬性是身份驗證票
FormsAuthenticationTicket類型,就是之前服務器寫到客戶端的身份驗證票。
服務器在獲取到身份驗證票FormsAuthenticationTicket對象后,查看這個身份驗證票
是不是非持久的身份驗證,是的話要根據web.config中timeout屬性設置的有效期來更新
這個身份驗證票的cookie(為避免危及性能,在經過了超過一半的指定時間后更新該
Cookie。這可能導致精確性上的損失。持久性 Cookie 不超時。)
4. 在HttpApplication.ResolveRequestCache事件之前,asp.net開始取得用戶請求的
頁面,建立HttpHandler控制點。這就意味著,在HttpApplication.ResolveRequestCache
事件要對用戶訪問權限就行驗證,看此用戶或角色是否有權限訪問這個頁面,之后在這個
請求的生命周期內再改變此用戶的身份或角色就沒有意義了。
以上是Forms驗證的全過程,可以看出,這個Forms驗證是基于用戶的,沒有為角色的驗
證提供直接支持。身份驗證票FormsAuthenticationTicket 中的Name屬性是用戶標示,其
實還有一個屬性UserData,這個屬性可以由應用程序來寫入自定義的一些數據,我們可以
利用這個字段來存放role的信息,從而達到基于角色驗證的目的。
Forms身份驗證基于角色的授權
一 身份驗證
在web.config的<authentication>的設置還是一樣:
<authentication mode="forms">
<forms name=".ASPXAUTH " loginUrl="/login.aspx" timeout="30" path= "/">
</forms>
</authentication>
/login.aspx驗證用戶合法性頁面中,在驗證了用戶的合法性后,還要有個取得此用戶
屬于哪些role的過程,這個看各個應用的本身如何設計的了,一般是在數據庫中會有個
use_role表,可以從數據庫中獲得此用戶屬于哪些role,在此不深究如何去獲取用戶對應
的role,最后肯定能夠獲得的此用戶對應的所有的role用逗號分割的一個字符串。
在上面的非基于角色的方法中,我們用了
FormsAuthentication.RedirectFromLoginPage 方法來完成生成身份驗證票,寫回客戶端,
瀏覽器重定向等一系列的動作。這個方法會用一些確省的設置來完成一系列的動作,在基
于角色的驗證中我們不能用這一個方法來實現,要分步的做,以便將一些定制的設置加進
來:
1. 首先要根據用戶標示,和用戶屬于的角色的字符串來創建身份驗證票
public FormsAuthenticationTicket(
int version, //設為1
string name, //用戶標示
DateTime issueDate, //Cookie 的發出時間, 設置為 DateTime.Now
DateTime expiration, //過期時間
bool isPersistent, //是否持久性(根據需要設置,若是設置為持久性,在發出
cookie時,cookie的Expires設置一定要設置)
string userData, //這里用上面準備好的用逗號分割的role字符串
string cookiePath // 設為"/",這要同發出cookie的路徑一致,因為刷新cookie
要用這個路徑
);
FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket
(1,"kent",DateTime.Now, DateTime.Now.AddMinutes(30), false,UserRoles,"/") ;
2. 生成身份驗證票的Cookie
2.1 將身份驗證票加密序列化成一個字符串
string HashTicket = FormsAuthentication.Encrypt (Ticket) ;
2.2 生成cookie
HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName,
HashTicket) ;
FormsAuthentication.FormsCookieName 是用來獲取web.config中設置的身份驗證
cookie的名字,缺省為" .ASPXAUTH".
若身份驗證票中的isPersistent屬性設置為持久類,則這個cookie的Expires屬性一定要
設置,這樣這個cookie才會被做為持久cookie保存到客戶端的cookie文件中.
3. 將身份驗證票Cookie輸出到客戶端
通過Response.Cookies.Add(UserCookie) 將身份驗證票Cookie附加到輸出的cookie集
合中,發送到客戶端.
4. 重定向到用戶申請的初試頁面.
驗證部分代碼(這部分代碼是在login.aspx頁面上點擊了登錄按鈕事件處理代碼):
private void Buttonlogin_Click(object sender, System.EventArgs e)
{
string user = TextBoxUser.Text; //讀取用戶名
string password = TextBoxPassword.Text; //讀取密碼
if(Confirm(user,password) == true) //confirm方法用來驗證用戶合法性的
{
string userRoles = UserToRole(user); //調用UserToRole方法來獲取role字符串
FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket
(1,user,DateTime.Now, DateTime.Now.AddMinutes(30), false,userRoles,"/") ; //建
立身份驗證票對象
string HashTicket = FormsAuthentication.Encrypt (Ticket) ; //加密序列化驗證
票為字符串
HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName,
HashTicket) ;
//生成Cookie
Context.Response.Cookies.Add (UserCookie) ; //輸出Cookie
Context.Response.Redirect (Context.Request["ReturnUrl"]) ; // 重定向到用戶
申請的初始頁面
}
else
{
// 用戶身份未被確認時的代碼
}
}
//此方法用來驗證用戶合法性的
private bool Confirm(string user,string password)
{
//相應的代碼
}
//此方法用來獲得的用戶對應的所有的role用逗號分割的一個字符串
private string UserToRole(string user)
{
//相應的代碼
}
二 基于角色訪問授權
這里我們要做的是,將客戶端保存的身份驗證票中UserData中保存的表示角色的信息恢
復到在服務端表示用戶身份的GenericPrincipal對象中(記住,原來的驗證過程中,
GenericPrincipal對象只包含了用戶信息,沒有包含role信息)
一個Http請求的過程中,HttpApplication.AuthenticateRequest事件表示安全模塊已建
立用戶標識,就是此用戶的身份在web端已經建立起來, 在這個事件之后我們就可以獲取
用戶身份信息了.
在HttpApplication.ResolveRequestCache事件之前,asp.net開始取得用戶請求的頁面
,建立HttpHandler控制點,這時就已經要驗證用戶的權限了,所以恢復用戶角色的工作只
能在HttpApplication.AuthenticateRequest事件和
HttpApplication.ResolveRequestCache事件之間的過程中做.
我們選擇Application_AuthorizeRequest事件中做這個工作,可以在global.asax文件中
處理HttpApplication的所有的事件,代碼如下:
protected void Application_AuthorizeRequest(object sender, System.EventArgs
e)
{
HttpApplication App = (HttpApplication) sender;
HttpContext Ctx = App.Context ; //獲取本次Http請求相關的HttpContext對象
if (Ctx.Request.IsAuthenticated == true) //驗證過的用戶才進行role的處理
{
FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;
FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份驗證票
string[] Roles = Ticket.UserData.Split (',') ; //將身份驗證票中的role數據轉
成字符串數組
Ctx.User = new GenericPrincipal (Id, Roles) ; //將原有的Identity加上角色信
息新建一個GenericPrincipal表示當前用戶,這樣當前用戶就擁有了role信息
}
}
訪問者同時具有了user和role信息,就可以據此在web.config中用role來控制用戶的訪
問權限了.
文章列表
留言列表
