System.Threading.Thread.CurrentPrincipal与System.Web.HttpContext.Current.User或为什么FormsAuthentication可...

最新推荐文章于 2023-12-01 01:02:04 发布
最新推荐文章于 2023-12-01 01:02:04 发布
阅读量215 收藏
点赞数
文章标签: java python 多线程 js vue ViewUI
原文链接:https://www.hanselman.com/blog/systemthreadingthreadcurrentprincipal-vs-systemwebhttpcontextcurrentuser-or-why-formsauthentication-can-be-subtle
版权

Warning: I find this fascinating and amazing as a caused a suble bug and was generally bizarre today.  You likely don't care. :)

警告:我发现这种令人着迷和令人惊叹的原因是它引起了一个微妙的错误,并且在今天通常是离奇的。 您可能不在乎。 :)

I have some code in an ASP.NET custom FormsAuthentication Login that looks something like this:

我在ASP.NET自定义FormsAuthentication登录中有一些代码,看起来像这样:

// This principal will flow throughout the request.
VoyagerPrincipal principal = new VoyagerPrincipal(yada, yada, yada);

//此委托人将遍历整个请求。 VoyagerPrincipal负责人=新的VoyagerPrincipal(yada,yada,yada);

// Attach the new principal object to the current HttpContext object
HttpContext.Current.User = principal;

//将新的主体对象附加到当前的HttpContext对象HttpContext.Current.User =主体;

It it called on the Global.asax's AuthenticateRequest so everything is all setup before the Page's events fire.  It provides a custom IPrincipal that integrates our eFinance Server with ASP.NET.  It's quite a lovely subsystem, IMHO.

它调用了Global.asax的AuthenticateRequest,因此在触发页面事件之前都已完成所有设置。 它提供了一个自定义IPrincipal,将我们的eFinance Server与ASP.NET集成在一起。 恕我直言,这是一个非常可爱的子系统。

Other operations count on being able to get this 'Call Context' IPrincipal from the current thread at any time.  In another section of code someone was doing this in the MIDDLE of the HttpRequest (somewhere in the Page_Load) after having JUST called the routine above for the first time:

其他操作依赖于能够随时从当前线程获取此“调用上下文” IPrincipal。 在另一部分代码中,有人在第一次调用上面的例程之后,就在HttpRequest的中间部分(在Page_Load中的某个地方)执行了此操作:

return Thread.CurrentPrincipal as VoyagerPrincipal;

返回Thread.CurrentPrincipal作为VoyagerPrincipal;

Assuming, of course that the Thread's CurrentPrincipal is that same Principal.  And 99.999% percent of the time it is, except when it isn't at all.

假设,当然,线程的CurrentPrincipal是相同的Principal。 剩下的时间为99.999%,除非完全没有。

In the instance where someone calls the first chunk of code then expects to be able to call the second chunk within the same HttpRequest, the Thread.CurrentPrincipal contains a GenericPrincipal populated much earlier by the HttpApplication.  (Or a WindowsPrincipal, depending on your settings).

在有人呼叫代码的第一个块,然后希望能够调用在同一个HttpRequest的第二块的情况下,包含Thread.CurrentPrincipal中一个的GenericPrincipal由HttpApplication的要早得多填充。 (或WindowsPrincipal,取决于您的设置)。

  • When the first chunk of code runs in the Global.asax's AuthenticateRequest these two properties ARE in fact the same object

    当第一段代码在Global.asax的AuthenticateRequest中运行时,这两个属性实际上是同一对象
  • When the first chunk of code runs in the context of a Page (read: later!) these properties are NOT the same object.

    当第一段代码在页面的上下文中运行时(读取:稍后!),这些属性不是同一对象。

Why? Reflector tells us in the HttpApplication's internal OnThreadEnter:

为什么? Reflector在HttpApplication的内部OnThreadEnter中告诉我们:

internal void OnThreadEnter()
{
      this._savedContext = HttpContextWrapper.SwitchContext(this._context);
      this._context.Impersonation.Start(false, true);
      HttpRuntime.RequestTimeoutManager.Add(this._context);this.SetPrincipalOnThread(this._context.User);      this.SetCulture(false);
}

内部无效的OnThreadEnter() { this._savedContext = HttpContextWrapper.SwitchContext(this._context); this._context.Impersonation.Start(false,true); HttpRuntime.RequestTimeoutManager.Add(this._context); this.SetPrincipalOnThread(this._context.User); this.SetCulture(false); }

internal void SetPrincipalOnThread(IPrincipal principal)
{
      if (!this._restorePrincipal)
      {
            this._restorePrincipal = true;
            this._savedPrincipal = Thread.CurrentPrincipal;
      }      Thread.CurrentPrincipal = principal;}

内部void SetPrincipalOnThread(IPrincipal主体) { 如果(!this._restorePrincipal) { this._restorePrincipal = true; this._savedPrincipal = Thread.CurrentPrincipal; }      Thread.CurrentPrincipal =主体; }

I had assumed, wrongly, that these two objects were coming from the same object reference always.  In fact, they are early on, but you can (as I did) change one without changing the other.  So, the first chunk of code becomes this:

我错误地认为这两个对象总是来自同一对象引用。 实际上,它们还很早,但是您可以(就像我一样)更改一个而不更改另一个。 因此,第一段代码变为:

// This principal will flow throughout the request.
VoyagerPrincipal principal = new VoyagerPrincipal(yada, yada, yada);

//此委托人将遍历整个请求。 VoyagerPrincipal负责人=新的VoyagerPrincipal(yada,yada,yada);

// Attach the new principal object to the current HttpContext object
HttpContext.Current.User = principal;

//将新的主体对象附加到当前的HttpContext对象HttpContext.Current.User =主体;

// Make sure the Principal's are in sync
System.Threading.Thread.CurrentPrincipal = System.Web.HttpContext.Current.User;

//确保主体同步System.Threading.Thread.CurrentPrincipal = System.Web.HttpContext.Current.User;

And all is right with my world, and the folks can continue to get the expected behavior when doing a "mid-page" FormAuthentication login.

我的世界一切正常,当进行“中间页” FormAuthentication登录时,人们可以继续获得预期的行为。

翻译自: https://www.hanselman.com/blog/systemthreadingthreadcurrentprincipal-vs-systemwebhttpcontextcurrentuser-or-why-formsauthentication-can-be-subtle

cunfuteng7334
关注
.Net 3.5 使用 System.Threading.Task
02-10
.Net 3.5 下使用的 System.Threading.Tasks。 安装完成后,添加引用时只需要在安装目录 C:\Program Files (x86)\Microsoft Reactive Extensions\Redist\DesktopV2 下找到 System.Threading.dll,添加即可
WebAPI--安全性,身份验证和授权
耀的专栏
07-10 1918
WebAPI--安全性,身份验证和授权 在本系列文章中,介绍一些保护未经授权用户的Web API的选项。本系列将涵盖身份验证和授权。 1、身份验证是了解用户的身份。例如,Alice使用其用户名和密码登录,服务器使用密码对Alice进行身份验证。 2、授权决定是否允许用户执行操作。例如,Alice有权获取资源但不能创建资源。 本系列的第一篇文章概述了ASP.NET Web API中的身份验证和授权。其他主题描述了Web API的常见身份验证方案 WebAPI中的身份验证和授权 认证:WebA.
Thread.CurrentPrincipal & HttpContext.Current.User
weixin_30954265的博客
10-22 132
据说要这样写才稳妥 // This principal will flow throughout the request.VoyagerPrincipal principal = new VoyagerPrincipal(yada, yada, yada); // Attach the new principal object to the current HttpContext obj...
C# 第八章『多线程』◆第1节:进程与线程
Halcon机器视觉
08-23 1054
暂停状态与就绪状态是不一样的:暂停状态下的线程是持有系统资源的,只是没有进行任何操作。多线程是指程序中包含多个执行流,即在一个程序中可以同时运行多个不同的线程来执行不同的任务,也就是说允许单个程序创建多个并行执行的线程来完成各自的任务。线程是程序中一个执行流,每个线程都有自己的专有寄存器(栈、指针、程序计数器等),但代码区是共享的,即不同的进程可以执行同样的函数。注意:一个进程可以有多个线程,一个线程必须有一个父进程,一个线程可以创建和撤销另一个线程,同一个进程中的多个线程之间可以并发执行。
HttpContext.Current.User.Identity.Name 有时获取值不成功
James.Duan@CSDN
10-10 1万+
有一个系统,用到获取Login User ID , 但发现第一次运行时无法获取到 User ID ,但第二个页面又可以。 HttpContext.Current.User.Identity.Name 还有一个问题,即在运行过程中不稳定,有时正常,有时又不正常,即又获取不到。 经同事们的多次测试,发现: 去除 IIS 中的匿名访问选项即可,仅保留Windows 整合认证即可解决。 En
慎用System.Web.HttpContext.Current
dz45693的专栏
07-31 1万+
每当控制流离开页面派生的Web表单上的代码的时候,HttpContext类的静态属性Current可能是有用的。 使用这个属性,我们可以获取当前请求(Request),响应(Response),会话(Session,)和应用程序对象(Application objects)以及请求更多服务。 以下面的代码为例。 private void Page_Load(object sender,
C#利用System.Threading.Thread.Sleep即时输出信息的详解
09-05
在C#编程中,`System.Threading.Thread.Sleep`是一个非常有用的函数,它允许当前线程暂停执行指定的时间量,以便让其他线程有机会运行。在本文中,我们将深入探讨如何利用`Thread.Sleep`来实现即时输出信息,特别是...
Open.ChannelExtensions:一组扩展,用于优化简化System.Threading.Channels的使用
02-05
一组扩展,用于优化/简化System.Threading.Channels的用法。 强调 读写 具有可选的并发级别。 读取通道中的所有条目。 将所有条目从源写入通道。 将所有条目管道传输(使用)到缓冲区(通道)。 .NET Standard ...
C#中Forms.Timer、Timers.Timer、Threading.Timer的用法分析
09-04
在C#中,有三种Timer类可供使用,分别是System.Windows.Forms.Timer、System.Timers.Timer和System.Threading.Timer。这些Timer类都是.NET Framework提供的,各有特点,适用于不同的场景。 **System.Windows.Forms....
.NET Framework 3.5上使用System.Threading.Tasks
02-21
我在做一个兼容WindowsXP项目时用到,用梯子到外面找来的。...由于 .NET 3.5下并没有官方实现的 Task 库,所以,是通过 VS 中 NuGet 取得的 非官方 实现的 Task 库,调用接口与官方.NET 4.0 后的应该是差不多的。
asp.net 域账号认证
12-01 86
Windows认证的操作会比较简单,其主要是把用户的交给IIS认证,而且还是一种比较安全的认证哦。在一些企业内部的工作流系统中,都会要求使用Windows认证,因为他不论对开发者还是对最终使用用户来说,都比较容易操作。
SharePoint中获取当前登录的用户名
weixin_30455067的博客
01-25 193
SharePoint中获取当前登录的用户名 第一种方法: System.Web.HttpContext.Current.User.Identity.Name.ToString(); 或者: SPContext.Current.Site.OpenWeb().CurrentUser.Name.ToString(); 这种方法不用获取当前的Site和W...
谁动了我的CurrentPrincipal?解释一下为什么CurrentPrincipal变了,并解决这个问题。...
11-29 527
在上一篇博客中我遇到了一个问题,并且导致了我无法继续进行授权和验证。经过查阅资料和解决另外一个问题的过程,我突然想通了为什么CurrentPrincipal变了。并且经过验证后的确是我所理解的那样。下面说说过程。 我在将petshop调试成功运行后,打算在另外一台机器上调用petshop的wcf服务,达到web服务器和业务服务器的物理分层效果。在另一台机器调用wcf服务的时候,提示:“...
安全性-身份验证和授权(一)之Principal
热门推荐
小猪快跑
02-27 2万+
1.概述为了确保应用程序的安全,安全性有几个重要方面需要考虑。一是应用程序的用户,访问应用程序的是一个真正的用户,还是伪装成用户的某个人?如何确定这个用户是可以信任的?确保应用程序安全的用户方面是一个2个阶段过程: 用户首先需要身份验证 再进行授权,已验证该用户是否可以使用需要的资源对于在网络上存储或发送的数据呢?例如,有人可以通过网络嗅探器访问这些数据吗?这里数据加密很重要。一些技术,如WCF,通
Tasks遇到的一些坑,关于在子线程中对线程权限认证。
Sunshine_0322的博客
04-22 300
  一般情况下,不应该在执行多线程认证的时候对其子线程进行身份认证,如:A线程的子线程B和子线程C。   当使用Parallel.ForEach方法时,只有自身线程能够拥有相对应的权限,其子线程权限则为NULL,因此在某些特定的情况下将会抛出异常,如: Parallel.ForEach(sork, new ParallelOptions() { MaxD...
【已解决】谁动了我的CurrentPrincipal?求助我在给Artech的wcf petshop增加授权机制的时候遇到的问题。...
11-28 126
这个问题已解决,是绑定设置的问题,主要还是因为我自己没有深入理解WCF绑定的安全机制。在这篇博客里面我来说说怎么解决的。 下载了Artech的wcf petshop源码(博文链接)并调试运行成功后,打算在其之上增加授权功能,但是遇到了问题。 环境:windows8.1 企业版,VS2012, SQLExpress2008, IIS Express 首先我在原文中求助A大关于通过Ro...
System.Threading.Thread.CurrentThread.CurrentUICulture =
最新发布
06-21
`System.Threading.Thread.CurrentThread.CurrentUICulture` 是 .NET Framework 中的一个属性,用于设置当前线程的用户界面 Culture(文化)。Culture 是一种表示特定区域和语言习惯的设置,包括日期格式、数字格式、货币符号等。 当你设置 `Thread.CurrentThread.CurrentUICulture`,你实际上是告诉系统后续在这个线程上执行的操作应该使用指定的 UI 文化。这对于处理本地化的用户界面元素非常重要,例如显示本地化的文本、日期和时间。 例如: ```csharp Thread.CurrentThread.CurrentUICulture = new CultureInfo("en-US"); // 设置为英语(美国) Thread.CurrentThread.CurrentCulture = new CultureInfo("fr-FR"); // 另外可以设置CurrentCulture来影响非UI相关的操作 // 如果你需要在某个操作后恢复默认值,可以这样操作: CultureInfo originalCulture = Thread.CurrentThread.CurrentUICulture; Thread.CurrentThread.CurrentUICulture = originalCulture; ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值