2. 程式人生 > >基於FormsAuthentication的用戶、角色身份認證(轉)

基於FormsAuthentication的用戶、角色身份認證(轉)

阿新 發佈:2018-10-04
就會 攻擊 context public contex onf decrypt 數據 分用

一般情況下,在我們做訪問權限管理的時候,會把用戶的正確登錄後的基本信息保存在Session中,以後用戶每次請求頁面或接口數據的時候,拿到

Session中存儲的用戶基本信息,查看比較他有沒有登錄和能否訪問當前頁面。

Session的原理,也就是在服務器端生成一個SessionID對應了存儲的用戶數據,而SessionID存儲在Cookie中,客戶端以後每次請求都會帶上這個

Cookie,服務器端根據Cookie中的SessionID找到存儲在服務器端的對應當前用戶的數據。

FormsAuthentication是微軟提供給我們開發人員使用,做身份認證使用的。通過該認證,我們可以把用戶Name 和部分用戶數據存儲在Cookie中,

通過基本的條件設置可以,很簡單的實現基本的身份角色認證。

這裏要實現的效果是:在不使用membership的情況下,使用系統提供的Authorize 實現基於角色的訪問控制。

1、創建認證信息 Ticket

  在用戶登錄以後,把用戶的ID和對應的角色(多個角色用,分隔),存儲在Ticket中。

  使用FormsAuthentication.Encrypt 加密票據。

  把加密後的Ticket 存儲在Response Cookie中(客戶端js不需要讀取到這個Cookie,所以最好設置HttpOnly=True,防止瀏覽器攻擊竊取、偽造Cookie)。這樣下次可以從Request Cookie中讀取了。

  一個簡單的Demo如下:

技術分享圖片 
        public ActionResult Login(string uname) 
        {
            if (!string.IsNullOrEmpty(uname)) 
            {
                //FormsAuthentication.SetAuthCookie(uname,true);
                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket
                    (   1,
                        uname,
                        DateTime.Now,
                        DateTime.Now.AddMinutes(20),
                        true,
                        "7,1,8",
                        "/"
                    );
                var cookie = new HttpCookie(FormsAuthentication.FormsCookieName,FormsAuthentication.Encrypt(ticket));
                cookie.HttpOnly = true;
                HttpContext.Response.Cookies.Add(cookie);

                return RedirectToAction("UserPage");
            }
            return RedirectToAction("Index");
        }
技術分享圖片

這裏FormsAuthenticationTicket 第六個參數存儲的是string 類型的userData ,這裏就存放當前用戶的角色ID,以英文逗號分隔。

當使用用戶名 “測試” 登錄後,客戶端就會出現這樣一條記錄Cookie

技術分享圖片

2、獲取認證信息

登錄後,在內容頁,我們可以通過,當前請求的User.Identity.Name 獲取到uname信息,也可以通過讀取Request 中的Cookie 解密,獲取到Ticket,再從其中獲取uname 和 userData (也就是之前存儲的角色ID信息)。

技術分享圖片 
            ViewData["user"]=User.Identity.Name;
           
            var cookie = Request.Cookies[FormsAuthentication.FormsCookieName];
            var ticket = FormsAuthentication.Decrypt(cookie.Value);
            string role = ticket.UserData;

            ViewData["role"] = role;
            return View();
技術分享圖片

3、通過註解屬性,實現權限訪問控制

在web.config中配置啟用Form認證 和 角色管理

技術分享圖片 
    <authentication mode="Forms">
      <forms loginUrl="~/Login/Index" timeout="2880" />
    </authentication>
    <roleManager enabled="true" defaultProvider="CustomRoleProvid">
      <providers>
        <clear/>
        <add name="CustomRoleProvid" type="MvcApp.Helper.CustomRoleProvider"/>
      </providers>
    </roleManager>
技術分享圖片

當我們在Controller 、Action添加註解屬性時候,設置的Role是從哪裏得到的呢?因為沒有使用基於Membership的那一套authentication,這裏我們還要創建一個自定義的RoleProvider 。名稱為CustomRoleProvider ,繼承自 RoleProvider。這裏是在MVCApp下面的Helper文件夾中創建了自己的CustomRoleProvider.cs文件。

RoleProvider中有很多abstract 方法,我們具體只實現其中的GetRolesForUser 方法用於獲取用戶角色。這裏的用戶角色,我們可以根據拿到的用戶Id從數據庫查詢,或者拿取Session中存儲了的、或是Cookie中存儲了的。這裏我前面已經把Role存儲在Ticket的userData中了,那就從Ticket中獲取吧。

技術分享圖片 
     public override string[] GetRolesForUser(string username)
        {
            var cookie = HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName];
            var ticket = FormsAuthentication.Decrypt(cookie.Value);
            string role = ticket.UserData;
            return role.Split(‘,‘);
        }
技術分享圖片

在需要,驗證的Controller、Action上面添加註解屬性,比如這個Action 只允許RoleID 為包含1或2或3的訪問,而當前用戶RoleID為(7、1、8)就是用戶有權訪問了。

       [Authorize(Roles="1,2,3")]
        public ActionResult Role() 
        {
            ViewData["user"] = User.Identity.Name;
            return View();   
        }


P.S. :1、Ticket存儲在在Cookie過期時間,和關閉瀏覽器是否在記住當前票據,在FormsAuthenticationTicket實例化時候可以設置參數,

    2、Role 的獲取可以不要存儲在ticket 的userData中,可以直接從數據庫讀取,userData可以存儲其他信息。

    3、要想靈活配置Controller 和Action的 允許訪問的Role 可以自定義AuthorizeAttribute override裏面的OnAuthorization方法,在該方法中

讀取當前頁面允許訪問的角色ID,根據當前用戶的RoleID,進行檢查。這樣也就實現了,Role的靈活配置。

4、Ticket中的信息,最終還是存儲在cookie中,安全性方面還是自己斟酌吧,個人覺得還是把UserID和RoleID存儲在Session中的比較好。

基於FormsAuthentication的用戶、角色身份認證(轉)

相關推薦

基於FormsAuthentication角色身份認證

就會 攻擊 context public contex onf decrypt 數據 分用 一般情況下,在我們做訪問權限管理的時候,會把用戶的正確登錄後的基本信息保存在Session中,以後用戶每次請求頁面或接口數據的時候,拿到 Session中存儲的用戶基本信息,查看

基於FormsAuthentication角色身份認證

add quest provide 數據庫 登錄 username uname 是否 image 一般情況下,在我們做訪問權限管理的時候,會把用戶的正確登錄後的基本信息保存在Session中,以後用戶每次請求頁面或接口數據的時候,拿到 Session中存儲的用戶基本信息,

HTTPS介面加密和身份認證

HTTPS介面加密和身份認證 對HTTPS研究有一段時間了,在這裡寫下一些收集的資料和自己的理解。有不對的地方希望斧正。 1.為什麼要使用HTTPS代替HTTP 1.1HTTPS和HTTP的區別 https協議需要到CA申請證書,一

Oracle12c多租戶管理角色權限

ota table logo 本地 emp 滿足 pdb 不可見 常見 Oracle 數據庫 12 c 多租戶選項允許單個容器數據庫 (CDB) 來承載多個單獨的可插拔數據庫 (PDB)。那麽我們如何在容器數據庫 (CDB) 和可插拔數據庫 (PDB)管理用戶權限。背景:當

MySQL數據庫角色授權

form roo inf error style clas -- logs fec 登錄MySQL > mysql -h192.168.56.1 -P33060 -uroot -p Enter password: **** 1. 添加用戶 inse

Oracle的角色以及權限相關操作

連接數據庫 創建用戶 opera pri count curry 操作 密碼 pro 1、創建用戶create user KD identified by 123456;2、授予連接數據庫的權限grant connect to KD;3、將Scott用戶的emp表授權給KD

Oracle創建角色授權建表空間

數據 revoke 空間名 plus with 其他 ini ota article oracle數據庫的權限系統分為系統權限與對象權限。系統權限( database system privilege )可以讓用戶執行特定的命令集。例如,create table權限允許用戶

角色權限數據庫設計

style str ole 管理 table char per varchar prim 權限管理 權限管理,主要是人員和權限之間的關系,但是如果讓人員直接和權限打交道,那麽權限的賦值、權限的撤銷以及權限的變動會非常的麻煩,這樣引入了,角色,給角色賦權限,然後給用戶分配角色

Oracle創建角色授權建表

不能 情況 nbsp cas 使用 現在 指定 test 系統管理員 oracle數據庫的權限系統分為系統權限與對象權限。系統權限( database system privilege )可以讓用戶執行特定的命令集。例如,create table權限允許用戶創建表,gran

Oracle_高級功能(5) 角色權限

syn 並不會 eat ant lte toe 權限 設置密碼 lec 一、用戶(模式)1.定義用戶:對數據庫的訪問,需要以適當用戶身份通過驗證,並具有相關權限來完成一系列動作模式(schema):是某個用戶所擁有的對象的集合。具有創建對象權限並創建了對象的用戶稱為擁有某個

Oracle11g創建表空間創建角色授權導入導出表以及中文字符亂碼問題

格式不支持 sysdba 導出 shu ble cad set 導入 lan 前提:本機已經安裝了Oracle11g數據庫。 需求:使用PL SQL數據庫連接工具操作Oracle數據庫 一、創建表空間和用戶 想要操作數據庫,首先需要創建用戶並給用戶

Asp.net MVC使用FormsAuthentication,MVC和WEB API可以共享身份認證 轉載

mlp ges web api nbsp 快速 charset 生成頁面 核心 lds 在實際的項目應用中,很多時候都需要保證數據的安全和可靠,如何來保證數據的安全呢?做法有很多,最常見的就是進行身份驗證。驗證通過,根據驗證過的身份給與對應訪問權限。同在Web Api中如何

【Shiro】Apache Shiro架構之身份認證Authentication

trac pretty asm 安全保障 軟件測試 釋放 model tac 讀取配置文件 Shiro系列文章: 【Shiro】Apache Shiro架構之權限認證(Authorization) 【Shiro】Apache Shiro架構之集成web

LWIP學習筆記之編程接口NETCONN(八)

socket api con 數據 實現 學習 數據緩存 用戶 soc 一、定時事件 1、定時結構 2、定時鏈表 3、內核進程 4、處理定時事件 二、消息機制 1、消息結構 2、數據包消息 3、協議棧API實現 4、API消息 三、協議棧接口 1、用戶數據緩存netbuf

Shiro的身份認證Authentication

Apache Shiro 是一個強大且靈活的 Java 開源安全框架,擁有登入認證、授權管理、企業級會話管理和加密等功能,相比 Spring Security 來說要更加的簡單。本文主要介紹 Shiro 的登入認證(Authentication)功能,主要從 Shiro 設計

ISEvivado中調notepad++UE匯總整理

點擊 vivado 定制 選擇 http option bsp not 分享圖片 1、notepad++與vivado關聯 打開vivado軟件,選擇菜單欄“Tools——>Options…”,在彈出的對話框中,選擇General選項卡,如圖1所示。 圖1 選擇G

asp.net core 使用identityServer4的密碼模式來進行身份認證

.sh 錯誤 memory msi entity factory password fig 重載 原文:asp.net core 使用identityServer4的密碼模式來進行身份認證(一)IdentityServer4是ASP.NET Core的一個包含OpenID和

Java設計模式補充:回調模式事件監聽器模式觀察者模式

應該 hand 關閉 lan china 關註 update 使用 event 一、回調函數 為什麽首先會講回調函數呢?因為這個是理解監聽器、觀察者模式的關鍵。 什麽是回調函數 所謂的回調,用於回調的函數。 回調函數只是一個功能片段,由用戶按照回調函數調用約定來實現的

C語言中 有符號數無符號數整數溢出

alt 原因 () tar sig 重新 detail copyto 想象 [cpp] view plain copy print? #include<stdio.h> void main() { int l=-1; unsigned

均方誤差平方差方差均方差協方差

相差 均方差 nbsp 無法 bsp 技術 方法 簡便 但是 一,均方誤差 作為機器學習中常常用於損失函數的方法,均方誤差頻繁的出現在機器學習的各種算法中,但是由於是舶來品,又和其他的幾個概念特別像,所以常常在跟他人描述的時候說成其他方法的名字。 均方誤差的數學表達為: