ASP.NET MVC中的身份验证

已于 2022-03-27 10:19:09 修改
阅读量1.4k 收藏 7
点赞数 1
分类专栏: .NET MVC 文章标签: asp.net
于 2021-10-24 16:12:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fdyhbycsdn/article/details/120933569
版权

传统的登录验证方式,是通过将用户的登录状态信息保存在服务端的Session中,再利用客户端浏览器的Cookie保存SessionID,这样浏览器每次在向服务端发起请求时,都会携带该Cookie值,服务端可以根据相应的SessionID来获取匹配的Session信息,并进行验证。

在ASP.NET MVC中,可以通过使用过滤器来在请求的处理过程中,执行一些统一或额外的操作。

过滤器种类
过滤器类型 接口默认实现说明
AuthorizationIAuthorizationFilterAuthorizeAttribute在其他过滤器执行前运行,用于控制对指定Controller或Action的访问,必须满足授权要求。
ActionIActionFilterActionFilterAttribute在Action执行之前或之后运行。
ResultIResultFilterActionFilterAttribute在结果返回之前或之后运行。
ExceptionIExceptionFilterHandleErrorAttribute用于处理由指定Controller或Action中引发的异常。

AuthorizeAttribute可以限制指定的Controller或Action,只能够被满足授权要求的用户进行访问。

当使用AuthorizeAttribute标记一个Controller时,如果希望允许某些Action可以被匿名访问,则可以在该Action上标记AllowAnonymousAttribute。

[Authorize]
public class HomeController : Controller
{
    /// <summary>
    /// 首页
    /// </summary>
    /// <returns></returns>
    public ActionResult Index()
    {
        return View();
    }

    /// <summary>
    /// 登录页
    /// </summary>
    /// <returns></returns>
    [AllowAnonymous]
    public ActionResult Login(string account, string password)
    {
        if (string.IsNullOrEmpty(account))
        {
            return View();
        }
        System.Web.Security.FormsAuthentication.SetAuthCookie(account, false);
        return this.RedirectToAction("Index");
    }
}

一个简单的Demo如下所示:

首先,需要在Web.config中的system.web节点下添加以下内容:

<authentication mode="Forms">
  <forms loginUrl="~/Home/Login" name="login"></forms>
</authentication>

<authorization> 用于配置 ASP.NET 身份验证方案,mode用于指定应用程序的默认身份验证模式,取值范围共分为 Windows、Form、Passport、None 四种验证模式。

<forms>用于配置 基于窗体的自定义身份验证,其中的loginUrl用于设置在没有找到任何有效的身份验证的Cookie时,重定向到登录页面的URL,其默认值为 login.aspx;name则设置了用于存储身份验证信息的Cookie名称,默认值为 ".ASPXAUTH";

接着,在需要进行身份验证的Action上使用AuthorizeAttribute进行标记:

/// <summary>
/// 首页
/// </summary>
/// <returns></returns>
[Authorize]
public ActionResult Index()
{
    return View();
}

最后,只需在执行登录操作的Action中调用System.Web.Security.FormsAuthentication类的SetAuthCookie方法,将登录信息写入到Cookie中即可。

/// <summary>
/// 登录页
/// </summary>
/// <returns></returns>
public ActionResult Login(string account, string password)
{
    if (string.IsNullOrEmpty(account))
    {
        return View();
    }
    System.Web.Security.FormsAuthentication.SetAuthCookie(account, false);
    return this.RedirectToAction("Index");
}

当直接访问Index页面时,因为没有登录信息,所以页面将会被重定向到Login页。而在完成登录操作之后,身份验证信息将被写入到Cookie中,此时可以通过浏览器的开发者工具,查看到Cookie信息,其名称“login”正是上面在forms标签中所设置的名称。

在此之后就可以正常访问Index页面了。

此外,通过forms中的timeout可以用来手动设置存储身份验证信息的Cookie的过期时间。timeout以整数分钟为单位,其默认值为30。当slidingExpiration的值为True时,表示在距离最后一次访问的N分钟后过期,相当于在单个会话期间内,每次请求都将刷新过期时间。而False则相当于过期时间是一个绝对值,只要大于该间隔范围就会立即过期。slidingExpiration的默认值为 True。

在forms中还包含了许多其他的特性,具体可以参考MSDN。

在退出登录时,可以使用 System.Web.Security.FormsAuthentication.SignOut() 来从浏览器删除 Forms 身份验证的票证信息,实现注销功能。

/// <summary>
/// 注销
/// </summary>
/// <returns></returns>
[Authorize]
public ActionResult Logout()
{
    System.Web.Security.FormsAuthentication.SignOut();
    return this.RedirectToAction("Login");
}

除了使用默认实现的AuthorizeAttribute类之外,还可以通过继承AuthorizeAttribute类,实现自定义的权限验证:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false, Inherited = true)]
public class AuthenticationAttribute : AuthorizeAttribute
{
    // 执行顺序:OnAuthorization-->AuthorizeCore-->HandleUnauthorizedRequest

    /// <summary>
    /// 请求授权处理
    /// </summary>
    /// <param name="filterContext"></param>
    public override void OnAuthorization(AuthorizationContext filterContext)
    {
        // 如果当前Action或Controller标记了AllowAnonymousAttribute,则跳过结束验证
        if (filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true) || filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute), true))
        {
            return;
        }

        // 此外,通过 filterContext.Controller 还可以获得 ViewData 或 ViewBag,可以用来存储一些临时的数据内容:
        // filterContext.Controller.ViewData
        // filterContext.Controller.ViewBag



        // 实际上,基类所实现的 OnAuthorization 中,已经包含了对 AllowAnonymousAttribute 的验证
        // 这也是为什么直接标记 AuthorizeAttribute ,在遇到 AllowAnonymousAttribute 会跳出验证的原因

        // 并且,在基类的 OnAuthorization 中,还负责调用了 OnAuthorization 方法
        // 如果 OnAuthorization 的返回值为 false,则将调用 HandleUnauthorizedRequest 方法
        base.OnAuthorization(filterContext);
    }

    protected override bool AuthorizeCore(HttpContextBase httpContext)
    {
        //return base.AuthorizeCore(httpContext);

        // 拿到存储有身份信息的cookie对象
        var cookies = httpContext.Request.Cookies[FormsAuthentication.FormsCookieName];

        // 如果没有拿到cookie信息,则说明当前用户尚未登录
        if (cookies == null)
        {
            return false;
        }

        // 解码认证信息
        FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(cookies.Value);
        // 拿到解密后的票据信息 
        string userData = ticket.UserData;

        // ......

        return true;
    }
    // 当AuthorizeCore返回false时,将会调用 HandleUnauthorizedRequest
    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
    {
        //base.HandleUnauthorizedRequest(filterContext);
        filterContext.Result = new RedirectResult("~/Default/Login");
    }
}

如果希望对所有的请求都应用授权过滤的话(比如统一的登录状态验证),不必为每一个Controller都单独手动的标记特性,而是可以在Global文件的Application_Start中,添加全局筛选:
GlobalFilters.Filters.Add(new AuthenticationAttribute());

而对于一些不希望进行授权验证的特殊的Controller或Action,只需标记为它们AllowAnonymousAttribute即可。

在下入门不久,还是嘎嘎新的一个幼小菜鸟,记录一下平时的学习心得,如有错误,还请诸位大神海涵轻拍,必及时更正!

参考资料

authentication 元素(ASP.NET 设置架构) | Microsoft Docs

authentication 的 forms 元素(ASP.NET 设置架构) | Microsoft Docs

fdyhbycsdn
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET MVC 登录验证码
yanggk的专栏
03-14 3989
图片验证码HTML页面: &lt;div style="float: left; width: 65%"&gt; &lt;input class="ipt" id="verifycode" maxlength="4" type="text" placeho
ASP.NET MVC 验证登录方法
依然的博客
04-28 1606
开发工具和关键技术:Visual Studio 2015,ASP.NET MVC 作者:金建勇 撰写时间:2019年4月20日 在做一个项目一个系统的时候,最基本的肯定是得有登录页面的,需要输入账号、密码还有验证码这些登录信息,也当只有输入这些信息正确的时候,才能登录成功。这个时候也就涉及到验证登录了,我们就需要在控制器写上一个方法,用来验证登录时输入的这些信息是否正确,然后在登录的时...
ASP.net MVC 基于角色的权限控制系统的实现
gz19871113的专栏
09-15 639
一、引言 我们都知道ASP.net mvc权限控制都是实现AuthorizeAttribute类的OnAuthorization方法。 下面是最常见的实现方式: public class CustomAuthorizeAttribute : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { i
Asp.net Mvc4 基于Authorize实现的模块访问权限
weixin_30727835的博客
11-22 194
MVC,我们可以通过在action或者controller上设置Authorize[Role="xxx"] 的方式来设置用户对action的访问权限。显然,这样并不能满足我们的需求,对于一般的MVC系统来说,如果我们定义一个controller来处理一个模块的话,我们大致有以下需求: 一,单个action的访问权限。如果删除,列表action 二,一个action两种权限,如edit(in...
ASP.NET MVC 如何使用 Form Authentication?
最新发布
yangshuquan的专栏
05-09 413
.NET 的 Form Authentication 是一种基于表单的简单且灵活的身份验证机制,用户通过输入用户名和密码来登录应用程序,并且通过配置来控制用户访问权限。相比 JWT 身份验证,Form Authentication 具有简单易用、自定义性强等优点,但同时也存在 CSRF(跨站请求伪造)等安全风险,适合用在简单的 Web 应用
ASP.NET Core MVC 项目 AOP之Authorization
Vin Cente
02-23 959
一:说明 二:传统鉴权授权的基本配置 三 :角色配置说明 四:策略鉴权授权 五:策略鉴权授权Requirement扩展
ASP.NET MVC Authorize - 自定义Authorize的实现
亜侖的专栏
09-27 1628
ASP.NET MVC 2 Authorize - 自定义Authorize的实现 本文主要是转载的,通过这个小例子可以轻松自定义你的Authorize权限控制,因为我不是特别了解ASP.NET WebForm的MemberShip的实现机制,也不敢说自定义的性能是否过关,
ASP.NET MVC5(五):身份验证、授权
weixin_30237719的博客
06-24 685
使用Authorize特性进行身份验证   通常情况下,应用程序都是要求用户登录系统之后才能访问某些特定的部分。在ASP.NET MVC,可以通过使用Authorize特性来实现,甚至可以对整个应用程序全局使用Authorize特性。 Authorize的用法 本节以一个添加产品的示例来说明Authorize的使用方法。首先,创建Product类、添加属性(如下所示)并创建ProductsC...
ASP.NET MVC使用Authorize过滤器验证用户登录
热门推荐
pan_junbiao的博客
11-27 1万+
ASP.NET MVC使用Authorize过滤器验证用户登录。Authorize过滤器首先运行在任何其它过滤器或动作方法之前,主要用来做登录验证或者权限验证。 示例:使用Authorize过滤器实现简单的用户登录验证。 1、创建登录控制器LoginController /// &lt;summary&gt; /// 登录控制器 /// &lt;/summary&gt; [AllowAno...
[Asp.Net MVC4]验证用户登录实现实例
10-20
Asp.Net MVC4,实现用户登录验证是构建任何Web应用程序的重要部分,特别是涉及到用户交互和安全性。本文将深入探讨如何在MVC4框架下创建一个完整的用户登录验证实例。 首先,我们要创建数据库和相应的用户表。...
ASP.NET MVC 5 网站开发之美
11-15
5. **身份验证与授权**:ASP.NET MVC 5内置了基于OWIN的身份验证间件,支持多种身份验证方案,如OAuth、OpenID Connect等,同时也提供了角色和权限管理,用于控制用户访问特定资源。 6. **Entity Framework**:...
asp.net mvcForms身份验证身份验证流程
01-03
验证流程 一、用户登录 1、验证表单:ModelState.IsValid 2、验证用户名和密码:通过查询数据库验证 3、如果用户名和密码正确,则在客户端保存Cookie以保存用户登录状态:SetAuthCookie  1):从数据库查出用户名...
ASP.NET MVC5 入门 之登录验证
07-31
ASP.NET MVC5身份验证通常基于OAuth、OpenID Connect或者Forms Authentication,本例可能采用Forms Authentication。 接下来,我们关注"MvcLogin.sln"文件,这是一个解决方案文件,包含了整个项目的所有组件...
ASP.NET MVC5
06-22
ASP.NET MVC5,开发者可以使用C#编写控制器、模型和视图的代码,利用LINQ进行数据查询,以及使用各种设计模式来优化代码结构。 ASP.NET MVC5包含了一些关键特性,如: 1. **身份认证和授权**:内置的OWIN...
ASP.NET MVC实战之权限拦截Authorize使用
xzhu博客
12-17 937
ASP.NET MVC实战之权限拦截Authorize使用
ASP.NET MVC Form表单验证与Authorize特性
weixin_46879188的博客
11-03 938
一、Form表单验证 1、基本概念 表单验证是一个基于票据(ticket-based)[也称为基于令牌(token-based)]的系统。当用户登录系统以后,会得到一个包含基于用户信息的票据(ticket)。这些信息被存放在加密过的cookie里面,这些cookie和响应绑定在一起,因此每一次后续请求都会被自动提交到服务器。 表单验证流程: (1)、用户请求一个需要验证身份后才可以访问的ASP.NET页面时,ASP.NET运行时验证这个表单验证票据是否有效。如果无效,ASP.NET自动将用户转到登录页面。
认识ASP.NET MVC的5种AuthorizationFilter
ma_nong33的博客
06-14 2066
为了生成该Hidden元素的值,HtmlHelper会根据现有的AntiForgeryData对象(从当前请求获取的或者新创建的)创建一个新的AntiForgeryData对象,两个对象具有相同的CreationDate和Value属性,而当前用户名和指定的Salt参数将会设置给新AntiForgeryData对象的UserName和Salt属性。这个例子充分说明了CSRF是一种比较隐蔽并且具有很大危害型的网络攻击,促成攻击的原因在于服务器在针对某个请求执行某个操作的时候并没有验证请求的真正来源。
ASP.NET MVC的5种AuthorizationFilter
chengxuyuanlaow的博客
12-26 614
为了生成该Hidden元素的值,HtmlHelper会根据现有的AntiForgeryData对象(从当前请求获取的或者新创建的)创建一个新的AntiForgeryData对象,两个对象具有相同的CreationDate和Value属性,而当前用户名和指定的Salt参数将会设置给新AntiForgeryData对象的UserName和Salt属性。这个例子充分说明了CSRF是一种比较隐蔽并且具有很大危害型的网络攻击,促成攻击的原因在于服务器在针对某个请求执行某个操作的时候并没有验证请求的真正来源。
简单的Asp.NET MVC身份验证
CJY8080的博客
04-13 370
一.通过FormsAuthenication 1.编写动作方法 [HttpPost] public ActionResult Login(Admin admin) { string adminName=new AdminManager().Admin(admin); if(adminName!=null) { FormsAuthentication.SetAuthCookie...
ASP.NET MVC 4实战指南
身份验证和授权是 ASP.NET MVC 4 框架负责验证用户身份和授权的组件。身份验证的主要作用是验证用户的身份,确保用户是合法的用户。授权的主要作用是控制用户的访问权限,确保用户只能访问授权的资源。 ASP.NET ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值