Web验证方式(2)--Form Authentication

于 2018-08-18 15:11:00 发布
阅读量386 收藏 1
点赞数
原文链接:http://www.cnblogs.com/Code-life/p/9191370.html
版权

Form验证方式并不是HTTP标准,而是在微软ASP.NET Web框架下提供的一种验证方式。其大致流程如下:

在上图的流程中,ASP.NET框架提供了如下支持类:( FormsAuthentication, FormsAuthenticationModule )

 

在上面流程图中的第三步中,我们对用户名密码进行验证后。

-可以创建FormAuthenticationTicket对象,将用户数据存入其中。

-然后调用FormAuthentication类的工具方法Encrypt得到加过密的ticket字符串

-将加过密的ticket字符串写入名为FormAuthentication.FormCookieName的cookie中

-后续的请求中,浏览器都会带上该cookie.

在上面流程图第四步中,FormAuthenticationModule会在IIS的Authenticate事件中进行请求拦截

-对请求中携带的名为FormAuthentication.FormCookieName的cookie值进行验证(解密)

-如果验证通过,用cookie中携带的用户信息创建GenericPrinciple对象并保存在当前请求的HttpContext中,并将该请求设为Authenticated

-如果验证不通过,或者没有找到对应的cookie,则返回401给浏览器

详见FormAuthenticationModule源码

要在ASP.NET应用中开启Form Authenticate验证方式,只需添加如下配置到<system.web>配置节:

<authentication mode="Forms">
      <forms loginUrl="Login" name="JW.Auth" />//此处定义了登录url和cookie的名字
</authentication>

上面的流程图中有一个环节还没有描述到,步骤1和步骤4中会对用户进行验证是否有访问改页面的权限。ASP.NET中可以通过如下配置到<system.web>配置节来拒绝未登录用户:

<authorization>
      <deny users="?"/>//此处拒绝所有为登录用户,此处还可以添加<allow>节点允许特定用户,role发起特定的http method,但是没有与url的映射起来感觉有点鸡肋了。实际项目中可以实现自己的验证逻辑
 </authorization>

ASP.NET框架是通过上面类图中的UrlAuthorizationModule这个Http Module在IIS的Authorization Request环节对请求按照配置进行授权。未授权的请求则返回401错误吗。

详见UrlAuthorizationModule源码

 

小结:

Form Authentication是ASP.NET框架中内置的验证方式。其采用cookie作为验证ticket的保存方式,cookie默认是session内有效。

测试代码见https://github.com/lbwxly/Authentication

转载于:https://www.cnblogs.com/Code-life/p/9191370.html

Sinolife0605
关注
Forms Authentication 概述
Thirteen07的专栏
10-12 715
<br />一、Forms Authentication 机制<br /> 在解释Forms Authentication之前,我们不得不简要说明一下web身份验证的三种方式:Windows 验证Forms验证,Passport验证。在这里解释一下Windows身份验证,windows验证的工作机制如下:<br />当一个匿名请求到达服务器时,服务器会发送一个http response,浏览器会以呈现一个模态窗口的方式要求用户输入用户凭证,然后把输入的身份信息放在http header 中发送给服务器,服
WEB应用中的身份验证(2)--Form身份验证Form-based Authentication
冬雨专栏
12-04 2120
网上有很多关于此类文章,但是有很多文章将的含糊不清,让人看了很是郁闷,更有甚者竟然把没有测试的文章也帖出来,真不知道这些人怎么想的。。。哎~!废话少说,让我们开始把~~!这些话上次已经说完了^_^现在开始我们的Form-based Authentication吧,其实和BASIC基本上完全一样,就是拷贝~要搭建整个流程需要四个阶段:一、建立测试用数据库        我们这里用My
Form Authentication
weixin_30718391的博客
07-31 144
1.创建登陆的控制器和视图,实现登陆基本功能 2.创建视图模型,并在Action里面引用。 3.创建一个接口两个类,那个IUserPricipal接口要实现IPrincipal接口,UserPricipal类需要继承这个接口,然后去初始化IIdentity这个接口,UserPricipalModel类则是返回用户输出的Cookie的数据模型。 具体代码: 两个类一个接口: inte...
ASP.NET Authentication - Form Authentication
tomcat的专栏
09-08 1400
1.概念 ASP.NET的应用最开始是部署在企业内部,登录之后才能访问。如果用户直接访问非登录页,网站会先校验用户是否已登录,如果答案是否,网站认为当前的访问是未经授权的,网站立即跳转到登录页,登录之后跳转到之前访问的页面。这种以登录表单作为认证的方式就是表单认证(Form Authentication) 表单认证是最简单的认证方式,优点是配置十分简单,缺点是所有的页面(除登录页)必须经过
Form authentication(表单认证)问题
weixin_33816946的博客
05-11 551
前言 最近在做ASP.NET MVC中表单认证时出了一些问题,特此记录。 问题 进行表单认证时,在 PostAuthenticateRequest 事件中从Cookie值中解密票据。如下: protected void Application_PostAuthenticateRequest(Object sender, EventArgs e) { ...
使用Forms Authentication实现用户注册、登录 (一)基础知识
半亩方塘
01-02 1299
前言  本来使用Forms Authentication进行用户验证方式是最常见的,但系统地阐明其方法的文章并不多见,网上更多的文章都是介绍其中某一部分的使用方法或实现原理,而更多的朋友则发文询问如何从头到尾完整第实现用户的注册、登录。因此,Anders Liu在这一系列文章中计划通过一个实际的例子,介绍如何基于Forms Authentication实现:l 用户注册(包括密码的加密存
WEB SITE FORM BASED AUTHENTICATION-开源
05-15
总之,"WEB SITE FORM BASED AUTHENTICATION-开源"项目提供了一个灵活、可扩展的WEB表单身份验证解决方案,适合各种环境和需求。通过利用开源的力量,这个项目不仅实现了基本的身份验证功能,还为开发者和管理员提供...
Learn-Django-Authentication-System:从头开始学习Django身份验证系统
05-16
本教程将深入探讨“Learn-Django-Authentication-System”,从零开始讲解如何构建一个完整的Django认证系统。 首先,让我们了解Django认证系统的基本组成部分: 1. 用户模型(User Model):Django内置了一个名为`...
Java Web Server Plugin Authentication-开源
04-25
提供用于Java WebServers的插件身份验证API-扩展了FORM身份验证功能-使用Tomcat,JBoss和Jetty实现。 插入多个身份验证器,密钥准备器(例如,通过散列/盐腌)和登录密钥(包括文件数据)。
Web-Authentication:Web认证实践
04-06
- Form-Based Authentication:最常见的Web认证形式,用户通过填写登录表单提交凭据,服务器验证后重定向到指定页面。 - Token-Based Authentication:基于令牌的认证,如OAuth和JWT,用户通过认证后获得一个令牌...
Authentication_form
04-01
认证表格
form身份验证通过后,只能用FormsAuthentication.RedirectFromLoginPage
10-30
form身份验证通过后,只能用FormsAuthentication.RedirectFromLoginPage
使用Forms Authentication实现用户注册、登录
zjybushiren88888的专栏
09-10 689
本来使用Forms Authentication进行用户验证方式是最常见的,但系统地阐明其方法的文章并不多见,网上更多的文章都是介绍其中某一部分的使用方法或实现原理,而更多的朋友则发文询问如何从头到尾完整第实现用户的注册、登录。因此,Anders Liu在这一系列文章中计划通过一个实际的例子,介绍如何基于Forms Authentication实现:l  用户注册(包括密码的加密存储)l
使用authenticationForms身份验证模式
weixin_30322405的博客
02-23 215
这几天帮朋友写一个Web小程序,又重新回顾了一下.net。 今天想使用authenticationForms身份验证模式来验证程序。但遇到了一个非常、非常小的问题,耽误了大半天的时间。具体什么问题,考虑到自己的尊严,我在文章的最后给出。 下面和大家一起回顾一下怎样使用authenticationForms身份验证模式。 首先,在应用程序的配置文件(web.config)中配置程序。具...
FormAuthenticationTicket对象初接触
juliazhan的博客
07-18 1265
在看师父代码的时候发现FormAuthenticationTicket这个对象,然后百度了一些资料算是对这个对象有稍微了解。 .net的身份验证有三种,分别是:windows、forms、passport。其中以Forms验证用的最多,也最灵活。 Forms验证在内部的机制为把用户数据加密后保存在一个基于cookie的票据FormsAuthenticationTicket中,因为是经过特殊加密
FormAuthentication Stuff
Allen_白的专栏
03-28 1287
public void SetAuthCookie(int memberId, string accountType)         {             var newTicket = new FormsAuthenticationTicket(1,                 memberId.ToString(),                 DateTime.No
FormsAuthentication的用法
aiqingyu的专栏
07-12 1380
using System;using System.Data;using System.Configuration;using System.Web;using System.Web.Security;using System.Web.UI;using System.Web.UI.WebControls;using System.Web.UI
关于ASP.NET MVC中Form Authentication与Windows Authentication的简单理解
写代码的蜗牛
08-14 5078
一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token. 一般企业内部的应用,企业内部信息系统,使用Windows Auhentication.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值