FormsAuthenticationTicket对象

最新推荐文章于 2019-05-21 17:48:50 发布
最新推荐文章于 2019-05-21 17:48:50 发布
阅读量135 收藏
点赞数
分类专栏: 11年新浪博客笔记重整汇总 C#学习笔记 文章标签: Forms Authentication
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jakeat/article/details/86325741
版权

1.使用Forms验证存储用户自定义信息

Forms验证在内部的机制为把用户数据加密后保存在一个基于cookie的票据FormsAuthenticationTicket中,因为是经过特殊加密的,所以应该来说是比较安全的。

而.net除了用这个票据存放自己的信息外,还留了一个地给用户自由支配,这就是现在要说的UserData。

UserData可以用来存储string类型的信息,并且也享受Forms验证提供的加密保护,当我们需要这些信息时,也可以通过简单的get方法得到,兼顾了安全性和易用性,用来保存一些必须的敏感信息还是很有用的。

下面来看怎么使用UserData,然后会给出一个实际使用的例子。

{
        //创建一个新的票据,将客户ip记入ticket的userdata
        FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, userName.Text, DateTime.Now, DateTime.Now.AddMinutes(30), false, Request.UserHostAddress);
        //将票据加密
        string authTicket = FormsAuthentication.Encrypt(ticket);
        //将加密后的票据保存为cookie
        HttpCookie coo = new HttpCookie(FormsAuthentication.FormsCookieName, authTicket);
        //使用加入了userdata的新cookie
        Response.Cookies.Add(coo);
}


下面是FormsAuthenticationTicket构造函数的重载之一的方法签名

public FormsAuthenticationTicket(int version,string name,DateTime issueDate,DateTime expiration,bool isPersistent,string userData);

参数解释:
version          版本号。
name            与身份验证票关联的用户名。
issueDate    Cookie 的发出时间。
expiration     Cookie 的到期日期。
isPersistent  如果 Cookie 是持久的,为 true;否则为 false。
userData       将存储在 Cookie 中的用户定义数据

使用userdata也很简单,FormsIdentity的Ticket属性就提供了对当前票据的访问,获得票据后就可以用UserData属性访问保存的信息,当然是经过解密的。
((System.Web.Security.FormsIdentity)this.Context.User.Identity).Ticket.UserData

下面是一个具体的应用。

由于Forms验证是通过cookie来进行的,它需要传递一个票据来进行工作。虽然票据是加密的,里面的内容不可见,但这并不能阻止别人用一个假冒的身份使用票据(就像我们可以拿别人的钥匙去开别人的锁),比较常见的就是不同ip的用户在不安全通道截获了这个票据,然后使用它进行一些安全范围外的活动。

解决这个问题的办法之一就是使用SSL来传递信息。

但是如果不能使用SSL呢?我们可以判断ip和票据是否匹配,如果发出请求的ip是初次产生票据的ip,则没有问题,否则就销毁这个票据。

为此,我们需要在一开始处理登录时将用户的ip保存起来,这样就可以在以后的请求中随时验证后继请求的ip是否和初始ip相同。保存这个敏感ip的最佳场所当然是UserData啦,而验证的时机则是在AuthenticateRequest事件发生时,即Global.aspx.cs中定义的处理此事件的Application_AuthenticateRequest方法中。

上面的示例实际上已经是把用户ip保存到了UserData中,下面是验证的过程。

{
        if (this.Request.IsAuthenticated)
        {
            if (((System.Web.Security.FormsIdentity)this.Context.User.Identity).Ticket.UserData != this.Request.UserHostAddress)
            {
                System.Security.Principal.GenericIdentity gi = new System.Security.Principal.GenericIdentity("", "");
                string[] rolesi = { };
                System.Security.Principal.GenericPrincipal gpi = new System.Security.Principal.GenericPrincipal(gi, rolesi);
                this.Context.User = gpi;
            }
        }
}

通过给GenericPrincipal空的GenericIdentity和roles使票据失效,这样将强迫用户重新登录。为了测试这个方法,可以先把条件改为相等,看效果如何 :)

这个方法也有不足之处,具体为:

1.使用同一代理的用户将拥有同一个ip,这样就不能防范此类假冒攻击了

2.如果用户使用动态ip,则可能造成正常用户被我们强行销毁票据。不过总的来说,这个办法还是比较可行的。

FormsAuthenticationTicket基于forms的验证

构建基于forms的验证机制过程如下:

  1.  设置IIS为可匿名访问和asp.net web.config中设置为form验证
  2.  检索数据存储验证用户,并检索角色(如果不是基于角色可不用)
  3.  使用FormsAuthenticationTicket创建一个Cookie并回发到客户端,并存储角色到票据中,如: 
 FormsAuthentication.SetAuthCookie(Username,true | false)

  cookies保存时间:

HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName].Expires=DateTime.Now.AddDays(1)

  如果需要存储角色,采用:

{
        //创建一个新的票据,roles是一个角色字符串数组,将存储在 Cookie 中的用户定义数据。 上边代码中是将客户ip记入ticket的userdata ,所以写的是Request.UserHostAddress
        FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, userName.Text, DateTime.Now, DateTime.Now.AddMinutes(30), false, Roles);
        //将票据加密
        string encryptedTicket = FormsAuthentication.Encrypt(ticket);

        //存入Cookie
        HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
        Response.Cookies.Add(authCookie);
}

  4.    在Application_AuthenticateRequest事件中处理程序中(Global.asax)中,使用 票据创建IPrincipal对象并存在HttpContext.User中
  代码:

{
    HttpCookie authCookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName];
    FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);//解密
    string[] roles = authTicket.UserData.Split(new char[] { ';' });//根据存入时的格式分解,;或|....
    Context.User = new GenericPrincipal(Context.User.Identity, Roles);//存到HttpContext.User中
}

 判断某个角色验证

 HttpContext.Current.User.IsInRole(roles)

 具体实现
 Web.config文件
 加入节点,name为COOKIE名称,loginUrl为没有通过验证跳转的地址 

  <system.web>
    <authentication mode="Forms">
        <forms name="Hstear" loginUrl="login.aspx" protection="All" path="/" timeout="40"/>
       
    </authentication>     
  </system.web>

 设置目录访问 path为目录名,roles为票据中的角色名
 发现网上的都说要单独一个WEB.CONFIG文件放在目录中,但实际在根目录中设置即可,单个文件也一样

  <location path="Admin">
    <system.web>
      <authentication>
          <allow roles="admin"/>
          <deny users="*"/>
        
      </authentication>
    </system.web>
  </location>

 Global.asax文件
 Application_AuthenticateRequest事件中加入


    protected void Application_AuthenticateRequest(Object sender, EventArgs e)   {  
        string cookieName = FormsAuthentication.FormsCookieName;  
        HttpCookie authCookie = Context.Request.Cookies[cookieName];  
        FormsAuthenticationTicket authTicket = null;  
        try  {   
            authTicket = FormsAuthentication.Decrypt(authCookie.Value);  
        }  
        catch(Exception ex)  {   return;  }    
        string[] roles = authTicket.UserData.Split(new char[]{','});//如果存取多个角色,我们把它分解
        FormsIdentity id = new FormsIdentity( authTicket );    
        GenericPrincipal principal = new GenericPrincipal(id, roles);  Context.User =principal; //存到HttpContext.User中     
    }

 原理,将用户角色信息保存在票据中,通过Global.asax,WEB.CONFIG中的设置,判断角色的权限

在象茯菊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net中基于Forms验证的角色验证授权
chnking的专栏
06-11 3305
Asp.net中基于Forms验证的角色验证授权Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cooki
form身份验证通过后,只能用FormsAuthentication.RedirectFromLoginPage
10-30
1. **创建FormsAuthenticationTicket对象**:首先需要创建一个`FormsAuthenticationTicket`实例,其中包含了用户的相关信息以及一些配置选项,例如是否记住用户、票的有效期限等。 ```csharp ...
FormAuthenticationTicket对象初接触
juliazhan的博客
07-18 1262
在看师父代码的时候发现FormAuthenticationTicket这个对象,然后百度了一些资料算是对这个对象有稍微了解。 .net的身份验证有三种,分别是:windows、forms、passport。其中以Forms验证用的最多,也最灵活。 Forms验证在内部的机制为把用户数据加密后保存在一个基于cookie的票据FormsAuthenticationTicket中,因为是经过特殊加密
CAS总结之Ticket篇(转,非常详细,后文还提到一个ppt,非常易懂)
热门推荐
燃烧JAVA
07-18 1万+
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。   一 名词解释 TGT(Ticket Grangting Ticket) TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在
身份验证票 和 form验证
鱼汤的技术资料库
09-17 2585
using System.Web.Security;if((TextBox1.Text.Trim()=="a") && (TextBox2.Text.Trim()=="b"))   {    FormsAuthentication.SetAuthCookie(TextBox1.Text, false);   }      else   {      HttpContext.Current.Resp
定义数组对象
weixin_33538887的博客
05-21 1256
定义数组对象 for (let j = 0; j < imgidlist.length;j++){ if(this.data.articles[j].vedio != '' && this.data.articles[j].vedio){ arr[j] = {}; arr[j].top = brr[j]; arr[j...
【转载】FormsAuthenticationTicket 对象
weixin_30443895的博客
09-28 68
1.使用Forms验证存储用户自定义信息 Forms验证在内部的机制为把用户数据加密后保存在一个基于cookie的票据FormsAuthenticationTicket中,因为是经过特殊加密的,所以应该来说是比较安全的。而.net除了用这个票据存放自己的信息外,还留了一个地给用户自由支配,这就是现在要说的UserData。 UserData可以用来存储string类型的信息,并且也享受Forms验...
.net实现网站用户登录认证
10-23
当用户成功登录后,服务器会创建一个FormsAuthenticationTicket对象,其中包含用户的相关信息,如用户名、是否持久化等。然后,这个ticket会被加密并存储在一个名为FormsAuthentication.FormsCookieName的...
FormsAuthentication 权限验证
09-30
2. **身份验证**:服务器检查提供的凭证,如果验证成功,将创建一个FormsAuthenticationTicket对象。这个Ticket包含用户信息、过期时间、是否允许在不同机器间漫游等属性。 3. **Ticket加密**:...
forms身份验证
01-08
验证成功后,会创建一个FormsAuthenticationTicket对象,并使用FormsAuthentication类的`Encode`方法加密,然后设置为Cookie的值。 4. **保护资源** 使用`[Authorize]`属性可以标记受保护的页面或方法,只有经过...
C#中Authentication类的使用
03-11
- 服务器验证凭据,如果正确,将创建一个FormsAuthenticationTicket对象,包含用户信息。 - 然后,这个票证被加密并附加到一个名为`.ASPXAUTH`的Cookie中。 - 服务器设置重定向响应,将用户返回到原始请求的页面...
FormsAuthentication实现登录
PAPALIAN的专栏
01-16 1142
FormsAuthentication实现登录 配置项描述:               name=".ASPXAUTH"          loginUrl="login.aspx"          defaultUrl="default.aspx"          protection="All"          timeout="30"
marquee属性详解
03-16 2061
首先让我们认识这个&lt;marquee&gt;标签,它是成对出现的标签,首标签&lt;marquee&gt;和尾标签&lt;/marquee&gt;之间的内容就是滚动内容。&lt;marquee&gt;标签的属性主要有behavior、bgcolor、direction、width、height、hspace、vspace、loop、scrollamount、scrolldelay等,它们都是可...
<blockquote>缩进标签
01-12 1524
   &lt;blockquote&gt;…&lt;/blockquote&gt;标签对为缩进标签,在浏览器中显示向右缩进的文字。在标签对之间加入的文本将会在浏览器中显示的效果,与在普通的文本中使用Tab键进行缩进的效果一样。使用方法为&lt;blockquote&gt;要缩排的文字&lt;/blockquote&gt;。例如以下代码: &lt;body&gt; 没有使用缩进标签的文本。 &...
HTML框架标签frameset、frame、iframe、noframes、
01-12 1256
一个浏览器文档窗口中一般只能显示一个网页文件,但是,使用框架标签就可以将一个浏览器文档窗口分割成多个子窗口,每个子窗口中都可以显示一个独立的网页文件。 框架是由英文Frame翻译过来,它代表浏览器文档窗口中的一个子窗口。每个框架都可以显示一个HTML文件,多个框架组成了一个框架集(Frameset)。框架集通常的使用方法是在一个框架中放置一个网页,此网页含有可以链接到其他多个网页的超链接条目,访问...
<pre>标签进行预格式化
01-12 1131
  在HTML文档中,有时候设计者需要按照自己的格式编写源文件,并且希望在浏览器中显示的格式和编辑时的格式相同。&lt;pre&gt;…&lt;/pre&gt;标签对可以完整保留设计者在源文件中所定义的格式,包括各种空格,缩进,以及其他特殊格式,全都原封不动的反映在浏览器页面上。使用&lt;pre&gt;标签进行预格式化的代码如下: &lt;pre&gt;      锄禾日当午, 汗  ...
C#怎样把生成的token值存储在服务器的cookie上
最新发布
05-25
// 创建FormsAuthenticationTicket对象 var ticket = new FormsAuthenticationTicket( 1, // version "user_id", // user id DateTime.Now, // issue time DateTime.Now.AddMinutes(30), // expiration time ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值