.net中之认证(authentication)与授权(authorization)

注:这首文章主要让新手看之,老手们或会见觉得没有啥营养,就告绕了吧。

 

“认证”与“授权”是几乎所有系统被还见面干的概念,通俗点讲:

 

证实(authentication) 就是
“判断用户有无发出记名?”,好比windows系统,没登录就无法以(不管您是因此Administrator或Guest用户,总之要先对登录后,才能够进系统).

授权(authorization)
就是”用户登录后底身份/角色识别”,好比”管理员用户”登录windows后,能设置软件、修改windows设置等具有操作,而Guest用户登录后,只有做片的操作(比如设置软件就让取缔了).

 

 .net中以及”认证”对应的凡IIdentity接口,而同”授权”对应之虽是IPrincipal接口,这第二独接口的概念均以命名空间System.Security.Principal中: 

using System;
using System.Runtime.InteropServices;

namespace System.Security.Principal
{
    [ComVisible(true)]
    public interface IIdentity
    {
           string AuthenticationType { get; }
           bool IsAuthenticated { get; }
           string Name { get; }
    }
}

 

using System;
using System.Runtime.InteropServices;

namespace System.Security.Principal
{
    [ComVisible(true)]
    public interface IPrincipal
    {
          IIdentity Identity { get; }
          bool IsInRole(string role);
    }
}

相应专注到:IPrincipal接口中蕴含在一个单独念之IIdentity,这吗和最开头波及的定义一样:识别身份的前提是预先登录,只有登录成功后能更认可身份。

所以Membership/Role做过asp.net开发的朋友等,看到这第二个接口的概念,应该会以为不行熟悉,想想咱们于Asp.Net页面中凡怎么样判断用户是否登录和角色的?

protected void Page_Load(object sender, EventArgs e)
        {
            HttpContext ctx = HttpContext.Current;
            if (ctx.User.Identity.IsAuthenticated && ctx.User.IsInRole("管理员"))
            {
                //管理员该做的事,就写在这里
            }
            else 
            {
                //Hi,您不是管理员,别胡来!
            }
        }

立马段代码再熟悉不过了,没错!membership/role的法则就是是因这第二单接口的,如果还针对HttpContext.Current.User刨根问底,能觉察下面的定义:

图片 1

不怕:HttpContext.Current.User本身就是一个IPrincipal接口的实例。有了方的备选知识,可以直奔主题了,先来一个Console控制台程序测试一下用法:

using System;
using System.Security.Principal;
using System.Threading;

namespace ConsoleTest
{
    class Program
    {
        static void Main(string[] args)
        {

            GenericIdentity _identity = new GenericIdentity("菩提树下的杨过");
            GenericPrincipal _principal = new GenericPrincipal(_identity, new string[] {"管理员","网站会员" });

            Thread.CurrentPrincipal = _principal;//并非必需,但在winform程序中有很用(后面会提到)

            string loginName = _principal.Identity.Name;
            bool isLogin = _principal.Identity.IsAuthenticated;
            bool isAdmin = _principal.IsInRole("管理员");
            bool isWebUser = _principal.IsInRole("网站会员");

            Console.WriteLine("当前用户: {0}", loginName);
            Console.WriteLine("是否已经登录? {0}", isLogin);
            Console.WriteLine("是否管理员? {0}", isAdmin);
            Console.WriteLine("是否网站会员? {0}", isWebUser);

            Console.Read();            
        }
    }
}

出口如下:

时用户: 菩提树下之杨过
是否业已报到? True
是不是管理员? True
是不是网站会员? True

一切正常,没什么好不了,但Console默认只是一个单线程的程序,也从不增长的GUI界面,所以…这个只不过是热身,看下接口定义的几乎单方式是否行得通而已。

这第二独接口同样也克就此当Winform次中,下面用创造一个WinForm应用,里面来第二独窗口:Form1以及Form2,可以拿Form1当成登录界面,而Form2则是程序主窗口,在过剩管理软件中,主窗口还求登录后才会访问,我们不怕来模拟一下:

Form1的界面:

图片 2

Form2更简短:(就一个只是念的TextBox)

图片 3

自身怀念做的工作:在Form1上登录后,看看在Form2中,能否判断发生用户都报到,以及识别出位。

Form1 中的代码:

using System;
using System.Security.Principal;
using System.Threading;
using System.Windows.Forms;

namespace WinformTest
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }

        private void btnLogin_Click(object sender, EventArgs e)
        {
            if (txtUserName.Text.Trim() == "") {
                MessageBox.Show("请输入用户名!");
                txtUserName.Focus();
                return;
            }

            IIdentity _identity = new GenericIdentity(txtUserName.Text.Trim());
            IPrincipal _principal = new GenericPrincipal(_identity, new string[] { "管理员" });

            Thread.CurrentPrincipal = _principal;//将其附加到当前线程的CurrentPrincipal

            MessageBox.Show("登录成功!");
        }

        private void btnShow_Click(object sender, EventArgs e)
        {
            (new Form2()).ShowDialog();
        }

        private void btnLogOut_Click(object sender, EventArgs e)
        {
            Thread.CurrentPrincipal = null;
            MessageBox.Show("已经退出!");
        }
    }
}

Form2中之代码:

using System;
using System.Security.Principal;
using System.Threading;
using System.Windows.Forms;

namespace WinformTest
{
    public partial class Form2 : Form
    {
        public Form2()
        {
            InitializeComponent();
        }

        private void Form2_Load(object sender, EventArgs e)
        {
            IPrincipal _principal = Thread.CurrentPrincipal;

            if (_principal.Identity.IsAuthenticated)
            {
                this.textBox1.Text = "您已经登录,当前用户:" + _principal.Identity.Name;
                this.textBox1.Text += Environment.NewLine + "当前角色:" + (_principal.IsInRole("管理员") ? "管理员" : "非管理员");
            }
            else 
            {
                this.textBox1.Text = "您还没有登录";
            }
        }
    }
}

测试一下:如果当不登录的状况下,直接点击”Show窗体2″,结果如下

图片 4

假设输入用户称,并点击”登录”后,再点击”Show窗体2″,结果如下:

图片 5

万分不错!Form2中直接就可知看清用户是否登录,以及当前报到用户之角色。这里发生一个首要的底细:

Thread.CurrentPrincipal = _principal;//将其附加到当前线程的CurrentPrincipal

在Form1中,将登录后底_principal附加到目前线程的CurrentPrincipal,我们理解:每个程序不管其是未是多线程,总归是产生一个默认的主线程的。所以如果把主线程的CurrentPrincipal与登录后的_principal关联起来后,其它任何窗体,都足以直接用其来举行判定,如果判断通过,则足以如此要那样(包括创造多线程进行协调之处理),如果判断不经,则足以拒绝继续操作。

 

Winform的题目迎刃而解了,再来考虑一下Webform,当然,你可以直接利用于Asp.Net2.0纵支持的membership/role机制,但membership/role默认只支持sqlserver数据库(通过membership
provider for
oracle也堪支持oracle,但总归有部分数据库不吃支持,比如access、mysql、sqlite、db2等),假如你免思拿用户名/密码这仿佛消息保存在sqlserver中(甚至无思保留在数据库被,比如:xml),这时候就得开动脑筋了。

 

实际上…就到底不用membership/role,上面提到的当下第二独接口仍然是可以以的,但生一个题材:winform中,IPrincipal接口的实例可以直接囤于内存中(直到程序退出),所以任何窗口就会延续看它,以便做更的判断,但是在webform中,页面本身是无状态的,一旦服务器输出html到客户端浏览器后,客户端的页面就同服务器再管关系了(你还是可离线浏览,前提是未刷新),那么最终之求证信息保存在啊地方啊?

 

答案就是客户端的浏览器Cookie!所以在WebForm中之做法有些有不同:

 

创建一个webApplication,里面新建4个页面:login.aspx,logout.aspx,default.aspx,gotoUrl.aspx,这四只页面的企图如下:

login.aspx : 登录页面

logout.aspx: 用来处理用户注销
(非必需,但建议将取消逻辑在此处,以便任何索要注销的地方又使用)

default.aspx: 登录完成后底亮页面

gotoUrl.aspx : 登录完成后,用来支援做页面跳转的页面(非必需,但建议加上)

 

login.aspx代码:

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Login.aspx.cs" Inherits="LoginTest.Login" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title></title>
</head>
<body>
    <form id="form1" runat="server">
    <table>
        <tr>
            <td>用户名:</td>
            <td>
                <asp:TextBox ID="txtUserName" runat="server" style="width:200px"></asp:TextBox></td>
        </tr>
        <tr>
            <td>密  码:</td>
            <td>
                <asp:TextBox ID="txtPassword" runat="server" TextMode="Password" style="width:200px"></asp:TextBox>
            </td>
        </tr>
        <tr>
            <td></td>
            <td>
                <asp:Button ID="Button1" runat="server" Text="登 录" onclick="Button1_Click" />
            </td>
        </tr>
    </table>
    </form>
</body>
</html>

后置代码:

using System;
using System.Web;
using System.Web.Security;

namespace LoginTest
{
    public partial class Login : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {

        }

        protected void Button1_Click(object sender, EventArgs e)
        {
            string user = this.txtUserName.Text; //读取用户名
            string password = this.txtPassword.Text; //读取密码
            if (ValidateUser(user, password) == true) //ValidateUser方法用来验证用户合法性的
            {
                //建立表单验证票据
                FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, user, DateTime.Now, DateTime.Now.AddMinutes(30), true, "管理员,会员", "/");

                //使用webcongfi中定义的方式,加密序列化票据为字符串
                string HashTicket = FormsAuthentication.Encrypt(Ticket);

                //将加密后的票据转化成cookie
                HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);

                //添加到客户端cookie
                Context.Response.Cookies.Add(UserCookie);

                //登录成功后重定向
                Response.Redirect("GotoUrl.aspx?returnUrl=" + Server.UrlEncode("Default.aspx"));
            }
            else
            {
                //登录失败后的处理
            }           
        }

        /// <summary>
        /// 验证用户名/密码是否正确
        /// </summary>
        /// <param name="userName"></param>
        /// <param name="pwd"></param>
        /// <returns></returns>
        private bool ValidateUser(string userName, string pwd) {
            return true; //当然实际开发中,您可以到数据库里查询校验,这里只是示例而已
        }
    }
}

GotoUrl.aspx:这个页面就是独自的援手跳反而曾经,所以aspx页面本身不用加什么代码,只需要在后置cs代码里大概处理一下

using System;

namespace LoginTest
{
    public partial class GotoUrl : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            string _returnUrl = Request["returnUrl"];

            if (string.IsNullOrEmpty(_returnUrl))
            {
                _returnUrl = "~/default.aspx";
            }


            Response.Redirect(_returnUrl);
        }
    }
}

接下当是Default.aspx了,这里只是演示,所以没有后置代码,判断的逻辑全写在default.aspx本身:

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="LoginTest.Default" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title></title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <% if (User.Identity.IsAuthenticated)
           {
               Response.Write("" + User.Identity.Name + "已登录!");
               if (User.IsInRole("管理员"))
               {
                   Response.Write(" 当前用户角色:管理员");
               }

               if (User.IsInRole("会员"))
               {
                   Response.Write(",会员。");
               }

               Response.Write(" <a href='logout.aspx'>安全退出</a>");
           }
           else
           {
               Response.Write("请先<a href='login.aspx'>登录</a>");
           }
        %>
    </div>
    </form>
</body>
</html>

说到底一个凡吊销页面logout.aspx,类似之,这个页面本身就担负收回cookie票据,所以界面上未曾东西,只有后置代码:

using System;
using System.Web.Security;

namespace LoginTest
{
    public partial class Logout : System.Web.UI.Page
    {
        protected void Page_Load(object sender, EventArgs e)
        {
            FormsAuthentication.SignOut();
            Response.Redirect("default.aspx");
        }
    }
}

设您已经当无急急的准下了F5纪念看下最终之结果,可能会见叫人大失所望:

图片 6

俺们还不曾登录呢,甚至并用户称,密码都不曾输入,咋会显示曾登录?是休是想起了有点沈阳之那句经典台词:为~什么呢?

即时就算是webform与winform不同之地方,asp.net默认的表单认证方式是Windows,所以程序一样运行,asp.net就将windows当前底报到用户就是已经报到了,因此我们得转asp.net的默认“傻帽”行为,修改web.config成下面这样:

<?xml version="1.0"?>

<configuration>
  <system.web>

    <compilation debug="true" targetFramework="4.0" />


    <authentication mode="Forms">
      <forms
         name=".ASPXAUTH"
         loginUrl="login.aspx"
         timeout="30"
         path="/"
         requireSSL="false"
         domain="">
      </forms>
    </authentication>


  </system.web>


</configuration>

嗯,忘了报告大家,我因此底凡asp.net 4.0,所以web.config显示大简单清爽。

ok,再来走一下:

图片 7

随即拨对了,点击“登录”,转至login.aspx,然后于用户名里输入点吗(比如:”菩提树下的杨过”),然后会得到下面的结果:

图片 8

证已经成了!但是好象还聊问题:并没识别出位!(即login.aspx.cs中代码指定的”管理员,会员”角色)

 

静下心来想想问题来在哪里?

在winform中,我们用

IPrincipal _principal = new GenericPrincipal(_identity, new string[] { "管理员" });
Thread.CurrentPrincipal = _principal;//将其附加到当前线程的CurrentPrincipal

给_principal授权也”管理员”(当然还能够吃它再次多之角色),然后拿其赋值为线程的CurrentPrincipal,所以即使ok了,但是webform中并无Thread.CurrentPrincipal,而且http本身又是无状态的,下一样差http请求,根本无法记得上次求时之状态(就好象每次http请求都是更投胎一样,前世忘记得一样干二皆),幸好:微软为asp.net搞来一个光景文Context的定义,一个webApplication中,虽然http协议本身是不管状态的,但是每个aspx页面被求时,总会有意无意一个HttpContext上下文,可以据此她来索回部分前生的记,而且文章最初步提到了
HttpContext.Current.User本身就是IPrincipal,这不纵是Thread.CurrentPrincipal的转换种么?

顺便又回想一下Asp.Net的页面生命周期,每个AspX页面在伸手认证时,都见面触发Application_AuthenticateRequest事件,而之波是概念在Global.ascx中之,所以可以于之入手:

新建一个Global.ascx,打开后置代码,内容如下:

using System;
using System.Security.Principal;
using System.Web;
using System.Web.Security;

namespace LoginTest
{
    public class Global : System.Web.HttpApplication
    {

        protected void Application_Start(object sender, EventArgs e)
        {

        }

        protected void Session_Start(object sender, EventArgs e)
        {

        }

        protected void Application_BeginRequest(object sender, EventArgs e)
        {

        }

        /// <summary>
        /// 每个aspx页面要求认证时被触发
        /// </summary>
        /// <param name="sender"></param>
        /// <param name="e"></param>
        protected void Application_AuthenticateRequest(object sender, EventArgs e)
        {
            HttpContext _ctx = HttpContext.Current;
            if (_ctx.User != null)
            {
                if (_ctx.User.Identity.IsAuthenticated == true) //认证成功的用户,才进行授权处理
                {
                    FormsIdentity _Identity = (FormsIdentity)_ctx.User.Identity;
                    string[] Roles = _Identity.Ticket.UserData.Split(','); //将角色字符串,即login.aspx.cs中的“管理员,会员”,变成数组
                    _ctx.User = new GenericPrincipal(_Identity, Roles); //将带有角色的信息,重新生成一个GenericPrincipal赋值给User,相当于winform中的Thread.CurrentPrincipal = _principal
                }
            }

        }

        protected void Application_Error(object sender, EventArgs e)
        {

        }

        protected void Session_End(object sender, EventArgs e)
        {

        }

        protected void Application_End(object sender, EventArgs e)
        {

        }
    }
}

更测试一下,结果到底正常了:

图片 9 

终极还帮.Net做点广告:.Net是一个阳台,其中的浩大技巧是都平台通用的(不管是winform还是webform),强烈建议大家尽量为微软自从带的正规模型靠拢,这样于多种不同类型的应用成时,将死便于,而且兼容性好,容易升级。

经常见有人winform中上录用一种植做法(比如安一个大局的静态变量,判断用户是否已报到),然后webform中以动不动不少脑筋想同一栽做法(比如自己打用户表,搞加密算法,然后用session做判定),假如下就第二种采取要成起来,估计要费不少劲(当然,也有计划得不行好,一开始即考虑到下之扩充的,但是这种毕竟少数,而且相对而言,对程序员的渴求比较高),但是只要大家还用文中所领的规范模型(IIdentity,IPrincipal),要组成就第二栽采取是殊便利的。

网站地图xml地图