学习froms验证(三)

最新推荐文章于 2020-08-11 11:56:00 发布
最新推荐文章于 2020-08-11 11:56:00 发布
阅读量780 收藏
点赞数
分类专栏: 验证 Mvc4 MVC3 文章标签: MVC3 mvc4 验证
MVC3 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
Mvc4
8 篇文章 0 订阅
订阅专栏
验证
1 篇文章 0 订阅
订阅专栏

froms中timeout值得注意的问题

一般我们不设置这个值是默认的30分钟,也就是说绝对的过期时间为30分钟,当我们希望在每次用户向站点发出请求时,只要票据还没有过期就重新设置过期时间.可以通过slidingExpiration配置选项来实现该行为.如果将它设置为true,每次FormsAuthenticationModule对用户通过认证后,就更新该用户的票据的expiry(相当于有效期).如果设置为false (默认值), 就不对expiry进行更新,后果就是,用户票据一旦过了设置好的绝对过期点,用户就从认证用户变成匿名用户.

例子:

<authentication mode="Forms">   
<forms    slidingExpiration="true"  timeout="60"     /> </authentication>

 

 

forms authentication system使用何种cookie策略,取决于<forms>元素里的cookieless设置,它可以有如下四种配置:

.UseCookies——指定总是使用基于cookie的票据

.UseUri——指定从不使用基于cookie的票据

(如果是这种方式系统必须对所有页面的URL编码以包含票据数据)

.AutoDetect——如果device profile不支持cookies,就不使用基于cookie的票据;如果device profile支持cookies,那么就运用一种探测机制来判断是否可以使用cookies.

.UseDeviceProfile——这是默认值.如果device profile支持cookies,就使用基于cookie的票据.不运用探测机制.

一般我们设置成UseDeviceProfile,当浏览器支持cookies,就是用基于cookie的票据,如果不支持就对所有页面的URL编码以包含票据数据

例子:

<authentication mode="Forms">  
 <formscookieless="UseDeviceProfile" slidingExpiration="true" timeout="60"/> 
</authentication>

 

对票据运用何种安全措施取决于<forms>元素里protection的配置.该项的值可为如下几个值之一:

.All——默认值,票据要加密且运用数据有效性验证

.Encryption——只加密,不生成MAC

.None——既不加密也不运用数据有效性验证.

.Validation——生成一个MAC,但不对票据加密,以纯文本的形式传递.

微软强烈推荐使用All配置选项.

(MAC就是一小片信息,用来对需要进行验证的数据(就本文而言,就是票据)实施鉴别.如果数据被改动过,那么MAC就不能与改动过的数据匹配)

学习上面的内容以后我们就可以自己重写用户数据验证,并且进一步加入用户数据

以前用下面一段代码写入用户验证票

FormsAuthentication.RedirectFromLoginPage(UserName.Text, RememberMe.Checked);

现在改为

string userDataString =”你要写入的内容”;
 2
 3//创建一个HttpCookie对象       
 4HttpCookie authCookie = FormsAuthentication.GetAuthCookie(UserName.Text, RememberMe.Checked);
 5
 6// 解密authCookie从而得到FormsAuthenticationTicket       
 7FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(authCookie.Value);
 8//创建一个新的 FormsAuthenticationTicket并加入userData
 9FormsAuthenticationTicket newTicket = new FormsAuthenticationTicket(ticket.Version, ticket.Name, ticket.IssueDate, ticket.Expiration, ticket.IsPersistent, userDataString);
10//进行加密   
11authCookie.Value = FormsAuthentication.Encrypt(newTicket);
12//写入到客户端的Cookies中去      
13Response.Cookies.Add(authCookie);
14//得到一次跳转钱的url       
15string redirUrl = FormsAuthentication.GetRedirectUrl(UserName.Text, RememberMe.Checked);
16Response.Redirect(redirUrl);

注意以上代码信息相关存储是基于Cookies票据,对于无Cookies票据我们是无法存储用户数据的

以下代码是得到用户数据

 

FormsIdentity ident = User.Identity as FormsIdentity;

FormsAuthenticationTicket ticket = ident.Ticket;

string userDataString = ticket.UserData;

 

ASP.NET接到一个请求后,通过一系列的步骤对请求进行处理.在每一步都会触发一个具体的事件,这就为开发人员楔入ASP.NET处理通道内部,在其生命周期的某一点上对请求进行修改提供了可能.以FormsAuthenticationModule为例,当ASP.NET引发AuthenticateReques事件后,在该事件里它对请求进行认证票据检查,如果在请求里发现了票据,就生成一个GenericPrincipal对象,并赋值给HttpContext.User属性.

 

在AuthenticateRequest事件之后,ASP.NET又引发PostAuthenticateRequest事件, 在该事件里,我们可以将FormsAuthenticationModule创建的GenericPrincipal对象替换为我们自定义的CustomPrincipal对象的一个实例

 

void Application_OnPostAuthenticateRequest(object sender, EventArgs e)   
 2    {        
 3      //得到当前验证的用户      
 4      IPrincipal usr = HttpContext.Current.User;   
 5   
 6      //通过了验证并且验证机制要是Froms  
 7      if (usr.Identity.IsAuthenticated && usr.Identity.AuthenticationType == "Forms"
 8     {  
 9      FormsIdentity fIdent = usr.Identity as FormsIdentity;    
10  
11      //创建 CustomIdentity 对象
12      CustomIdentity ci = new CustomIdentity(fIdent.Ticket);  
13    
14       // 创建 CustomPrincipal 对象
15       CustomPrincipal p = new CustomPrincipal(ci);      
16
17       // 当当前用户改为  CustomPrincipal           
18       HttpContext.Current.User = p;     
19       Thread.CurrentPrincipal = p;        
20      }   
21

 

对应的CustomIdenttity代码为

using System;
using System.Data;
using System.Configuration;
using System.Linq;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Xml.Linq;
using System.Security;

/// <summary>
///CustomIdentity 的摘要说明
/// </summary>
public class CustomIdentity : System.Security.Principal.IIdentity
{
    private FormsAuthenticationTicket _ticked;

    public CustomIdentity(FormsAuthenticationTicket ticket)
    {
        _ticket = ticket;
    }


    #region IIdentity 成员

    public string AuthenticationType
    {
        get { return "Custom"; }
    }

    public bool IsAuthenticated
    {
        get { return true; }
    }

    public string Name
    {
        get { return _ticket.Name; }
    }

    public string CompanyName
    {
        get
        {
            string[] userDataPieces = _ticket.UserData.Split("|".ToCharArray());
            return userDataPieces[0];
        }
    }

    public string Title
    {
        get
        {
            string[] userDataPieces = _ticket.UserData.Split("|".ToCharArray());
            return userDataPieces[1];
        }
    }

    #endregion
}

对应的CustomPrincipal类是

 

1using System;
 2using System.Data;
 3using System.Configuration;
 4using System.Linq;
 5using System.Web;
 6using System.Web.Security;
 7using System.Web.UI;
 8using System.Web.UI.HtmlControls;
 9using System.Web.UI.WebControls;
10using System.Web.UI.WebControls.WebParts;
11using System.Xml.Linq;
12using System.Security;
13
14/// <summary>
15///CustomPrincipal 的摘要说明
16/// </summary>
17public class CustomPrincipal : System.Security.Principal.IPrincipal
18{
19    private CustomIdentity _identity;
20
21    public CustomPrincipal(CustomIdentity identity)
22    {
23        _identity = identity;
24    }
25
26    #region IPrincipal 成员
27
28    public System.Security.Principal.IIdentity Identity
29    {
30        get return _identity; }
31    }   
32
33    public bool IsInRole(string role)
34    {
35        return false;
36    }
37
38
39    #endregion
40}

 http://www.cnblogs.com/couhujia/archive/2009/10/27/1590660.html

Mr_Yang_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python中装饰器学习总结
12-26
本文研究的主要内容是Python中装饰器相关学习总结,具体如下。 装饰器(decorator)功能 引入日志 函数执行时间统计 执行函数前预备处理 执行函数后清理功能 权限校验等场景 缓存 装饰器示例 例1:无参数的函数 ...
Project-From-Work:工作中的项目
04-02
工作中的项目 我从事的项目的一些杰出贡献 :smiling_face_with_...要在Linux中设置无密码的SSH登录,请执行以下操作:生成公共身份验证密钥,并将其附加到远程主机〜/ .ssh / authorized_keys文件中。 检查现有的S
ASP.NET中FORM验证中的cookieless属性
HSL888的专栏
02-02 1719
使用Form验证并使用cookie保存用户的登录状态,请切记:在/中要加上cookieless="UseCookies"。 AutoDetect:自动检测客户端实际是否支持cookie再来决定使用两种方式中的哪一种(最佳适应)。 UseCookies:不管客户端是否支持cookie,反正都使用cookie来标识(第一种方式)。 UseDeviceProfile:根据设备文件来判断是否支持co
简单的ASP.NET Forms身份认证
weixin_34352449的博客
01-28 128
读了几篇牛人的此方面的文章,自己也动手做了一下,就想有必要总结一下。当然我的文章质量自然不能与人家相比,只是写给从没有接触过这个知识点的朋友。 网站的身份认证我以前只知道session,偶然发现一些牛人提倡用Forms方式,微软官方也推荐这种方法。详见使用Session作为身份识别的问题 ASP.NET的身份认证方式是在web.config文件中configuration...
FormsAuthentication使用指南
热门推荐
我的专栏
11-20 2万+
配置安全鉴别 鉴别是指鉴定来访用户是否合法的过程。ASP.NET Framework支持三种鉴别类型: Windows鉴别; NET Passport鉴别; Forms鉴别。 对于某一特定的应用程序,同一时刻只能启用其中一种鉴别方式。例如,不能在同一时刻同时启用Windows鉴别和Forms鉴别。 在默认情况下,系统将启用Windows鉴别。当Windows鉴别启用后,用户通过微软Wi
asp.net 2.0 下的表单验证Cookieless属性
weixin_33912445的博客
10-14 135
刚刚在洗衣服的时候突然想到今天在做WAP程序的表单验证的时候遇到一个问题,在不支持Cookies的移动设备模拟器中无法正常进行表单验证,联想到昨天使用web.config设置cookieless属性时会在访问时会出现"Cannot use a leading .. to exit above the top directory"的异常,自然而然的我就想到了前一段时间困扰我很久的一个站点异常无法使用...
ask:python中的简单输入验证
06-07
问python的简单输入验证安装pip install ask用法>>> from ask import ask, askChar, askInt, askString, askPassword, askEmail, askBool, explain>>> ask()# Creates an empty input query here>>> askInt('Your ...
优化__训练方法.zip
02-22
作者S. Loffe and C. Szegedy 摘要:训练深层神经网络由于在训练期间每个层的输入的分布改变而变得复杂,因为先前层的参数发生了改变。由于要求较低的学习速率和仔细的参数初始化,它减慢了训练,并且使得训练具有...
net学习笔记及其他代码应用
11-16
19.ASP.net的身份验证方式有哪些?分别是什么原理? 答:10。Windwos(默认)用IIS...From(窗体)用帐户....Passport(密钥) 20.什么是Code-Behind技术? 答:代码后植。 21.在.net中,配件的意思是? 答:程序集。...
Forms Authentication timeout and Expiration
weixin_34138521的博客
06-22 370
本文不涉及session的timeout 在Forms Authentication里有两处涉及timeout:forms authentication ticket 与 forms authentication cookie 1. 设置 ticket 的 Expiration: var ticket = new FormsAuthenticationTicket( ...
Froms认证
zhanglong_longlong的专栏
05-29 952
if (this.Txt_UserName.Text == "Admin" && this.Txt_Password.Text == "123456") { var ticket = new System.Web.Security.FormsAuthenticationTicket(1, this.Txt_Use
MVC中Forms窗体验证及关于ActionFilterAttribute拦截器的实现
WenRouDG的博客
08-11 777
前言 认证和授权机制 认证是确定用户身份的过程。在用户通过了身份验证后,开发人员 就可以确定该用户是否有权继续操作。如果没有进行身份验证,就 不能进行实体的授权。 授权是确定已验证的用户是否有权访问应用程序中的某个部分、某 个点、或只访问应用程序提供的特定数据集。 今天分享关于.NET MVC中的Forms窗体登录验证,及ActionFilterAttribute角色拦截。登录方式可以为二种方式。第一种为:form表单提交。第二种:Ajax异步提交。好话不多说,直接上代码。
Form认证timeout无效问题
左直拳的马桶_日用桶
08-09 5573
web.config有如下设置:
forms 身份验证(授权)详解
weixin_30463341的博客
07-27 1072
首先在 web.config 中设置<authentication mode="Forms">设置 mode="Forms" <forms loginUrl="login.aspx" name="boyang" protection="All"></forms>加密和保护 </authentication> <authoriz...
学习Froms验证(二)
朝圣的魔鬼
02-21 1431
由于前面发表的《学习Froms验证》里面的内容我理解,但是不是很熟悉于是找了些资料学习一下学习Froms验证    System.Web.Security命名空间的FormsAuthentication类提供了很多通过forms authentication系统登陆和注销的函数 FormsAuthentication.GetAuthCookie(username, persistCoo
s:from 表单验证
u011066523的博客
05-30 435
&lt;s:form theme="simple" method="post" action="changeAtt" onsubmit="return checkDate();"&gt; &lt;tr&gt;   &lt;td colspan="2"&gt; 上班考勤时间:&lt;s:select name="startHour&qu
froms验证
viaivi的专栏
06-19 533
        protected void Button1_Click(object sender, EventArgs e)        {            Users user = new Users();            user.Name = wName.Text;            user.Pass = wPass.Text;            if (user
写一个深度学习模型的K折交叉验证代码
最新发布
04-06
以下是一个使用Keras和Scikit-learn库实现的深度学习模型的K折交叉验证代码: ```python import numpy as np from keras.models import Sequential from keras.layers import Dense from sklearn.model_selection ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值