授权(Authentication)

最新推荐文章于 2022-08-23 22:36:58 发布
最新推荐文章于 2022-08-23 22:36:58 发布
阅读量175 收藏
点赞数
分类专栏: [网站分类].NET新手区 文章标签: WebForm Windows IIS ASP.net thread


http://www.microsoft.com/taiwan/msdn/library/2003/dec-2003/vbnet10282003.htm
http://www.cnblogs.com/steeven/archive/2004/03/18/3523.aspx

一般概念:
1。初始化整个AppDomain的Principal策略(ASP.NET中策略由webconfig决定;更改无效;):
        AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.NoPrincipal);
   有时候需要(但一般不需要,并且多次调用会产生Exception):
   初始化整个AppDomain的Principal:
        AppDomain.CurrentDomain.SetTreadPrincipal();
2。初始化Principal:
                new Identity();
                new Principal();          
                Thread.CurrentPrincipal = myPrincipal;
    3。Principal的两个: Identity;
                         IsInRole();
    4。Identity的属性:  Name;
                         AuthenticationType;
                         IsAuthenticated;——一旦给Identity赋值了Name和AuthenticationType,该属性就为true;否则为false;

Login步骤:
1。检验uid;pwd;
2。正确,则初始化Identity(Name,AuthenticationType——则此时IsAuthenticated=true),和Principal;
3。错误,也初始化Identity(Name="",AuthenticationType=""——则此时IsAuthenticated=false),和Principal;
4。if(Identity.IsAuthenticated)
   {
        Principal.IsInRole();// 判断用户角色;
   }

分类:
   WebForm:
        Forms认证:
                设置web.config中认证方式为:Forms;及loginURL;
                        我想过程可能是这样的:每次请求一个页面,aspnet_isapi都会检查Identity.IsAuthenticated属性;
                                              为True,允许用户访问页面资源;False,定向到loginURL页面;
                                              所以Login的角色相当于Windows自己的验证,只不过是给Identity初始化;
                        但是,这是错误的:aspnet_isapi不会检查Identity.IsAuthenticated属性;这个属性只有自己的代码来检查;
                                          相当于开发人员有三种编码依据:Name、Type、Role;据此判断流程;
                        所以重要的一点就是保存用户的Principal(即HttpContex.Current.User),可以用Cookie;或缓存(是否能行??);
                设置IIS-安全性-匿名访问;
                写Login代码,分两步:
                        一。验证UID、PWD,并给Identity初始化;
                        二。重定向到原始请求页面:FormsAuthentication
               
       
        Windows认证:
                WindowsIdentity myIdentity = new WindowsIdentity("kevin","Normal");//为什么总是“无法登陆”???
                Thread.CurrentPrincipal = new WindowsPrincipal(myIdentity);
                正确方法:
                设置web.config中认证方式为:windows;
                设置IIS-安全性-去掉匿名访问,勾选windows集成认证;
                则客户端访问时,第一次出现登陆对话框;
       
   WindowForm:
        Windows认证:??
               


突然觉得,Identity不过是一个用户信息的包装而已,包装了Name和Type,还要一个表示“是否包装”过的标志位:IsAuthenticated。
Principal才提供了一些验证的功能,如IsInRole。
另外重要的一点时:他们两个都是和线程(Thread)相关的,我想这是与自己包装的类的最大区别。
所以在编写线程相关的代码时(如线程池),需要注意:新创建的线程将使用一个新的Principal和Identity,除非自己编码:
myNewTread.CurrentPrincipal = Thread.CurrentPrincipal;
myNewTread.Start();
(对于BeginInvoke是个例外,确不知道是什么意思。)

hsapphire
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【SpringBoot · Vue · Shiro · 前后端分离】关于登录认证后isAuthenticated依旧为false的问题
揣兜兜儿嘞Blog
06-24 4864
1 前 言 最近在使用 SpringBoot+Vue+Shiro 练习,但写到登录模块时,却遇到了 session 无法保存的问题,也就是前端提交登录请求后,后台通过 subject.login(usernamePasswordToken) 登录认证完响应给前端,但是前端想再请求后台判断是否登录时 (登录响应时我没有使用 Vuex 保存登录响应的数据) subject.isAuthenticated() 一直为 false。 提示: 若你所遇到的情况与上述类似,请查看一下前端Vue组件是否配置以下代码,
LoginAuthentication
04-12
在IT行业中,登录身份验证是任何Web应用程序的基础组成部分,它确保了用户安全并防止未经授权的访问。本项目“LoginAuthentication”使用的是Visual Studio 2019开发环境,编程语言为C#,并且基于ASP.NET Core 2.2...
Spring Security:身份验证令牌Authentication介绍与Debug分析
热门推荐
kaven
01-21 1万+
在Spring Security中,通过Authentication来封装用户的验证信息以及用户验证实现,Authentication可以是需要验证和已验证的用户信息封装。接下来,博主介绍Authentication接口及其实现类。 Authentication Authentication接口源码(Authentication接口继承Principal接口,Principal接口表示主体的抽象概念,可用于表示任何实体): package org.springframework.security.core;
使用Authentication的一点心得
开心每天,水滴石穿。
09-20 3458
我写了一个例子程序.第一次使用基于Froms的验证.首先假设用户登陆成功(这个一般从数据库得到验证). 然后写入验证票据Authentication.以后的页面中判断这个用户是否通过验证,如果没有,重定向到用户登陆页面.如果已经登陆,则执行业务逻辑.本文重点在讨论Authentication在角色验证中的使用.对其他方面不与关注. 步骤如下: 一.在用户登陆按扭事件中加入以下代码:
FormsAuthentication.Authenticate()方法总是返回false的原因
无笺札记
12-05 1276
FormsAuthentication.Authenticate()方法要验证的用户名和密码必须存储在Web.config文件内。如果要验证存储在“ASP.NET成员资格数据库”中的密码,则需要调用Membership.ValidateUser方法。
Spring security 学习笔记(一)简单的Authentication认证
weixin_43600770的博客
04-29 489
环境:IDEA Mysql JPA Spring Boot 2.X 1.准备工作 在IDEA新建一个Springboot 引入 spring-boot-starter-data-jpa spring-boot-starter-web spring-boot-starter-security spring-boot-devtools (开发时调试用) mysql-connector-java lombok spring-boot-starter-test 写一个系统用户实体 实现 UserDetails 接
Authentication
03-18
在IT行业中,认证(Authentication)是确保用户身份真实性的重要过程,它是网络安全的基础。尤其是在JavaScript环境中,客户端和服务器之间的交互频繁,认证机制对于防止未授权访问和保护用户数据至关重要。本篇将...
Spring Security如何基于Authentication获取用户信息
08-19
3. `GrantedAuthorities`:表示用户被授予的权限集合,用于授权决策。 4. `Authenticated`:一个布尔值,表示用户是否已通过身份验证。 要获取当前登录用户的用户名,最简便的方法是直接调用Authentication对象的`...
authentication
04-01
在IT行业中,认证(Authentication)是确保用户身份真实性的重要过程,它是网络安全的基础。在这个场景下,我们关注的是JavaScript中的认证实现。JavaScript,作为广泛应用于Web开发的脚本语言,不仅在客户端发挥着...
Spring Security 注解AuthenticationPrincipal 失效排查
keep_learn的专栏
08-23 1763
背景项目使用了springframework.security接口入参使用了springframework.security 注解 @AuthenticationPrincipal注解失效,前端请求接口的时候发现Principal 为空。
微前端解决方案初探 07 基于模块联邦的微前实现方案(Authentication 应用初始化、配置初始路由、微应用懒加载)
皮蛋很白的博客
02-15 471
Authentication - 应用初始化 Authentication 应用和 Marketing 应用的结构相同,可以在其基础上修改,或使用相同步骤创建。 首先完成:创建 Auth 目录 - npm 初始化 - 安装依赖 - 修改启动脚本。 然后添加 webpack 配置文件: // container\webpack.config.js const HtmlWebpackPlugin = require('html-webpack-plugin') module.exports = { mod
Spring Security(二):认证(Authentication)-用户名密码登录
人不风流枉少年
05-21 6600
1.pom.xml 注意:Spring Boot 2.x 要用thymeleaf-extras-springsecurity5不能用thymeleaf-extras-springsecurity4 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xm...
SpringSecurity中文文档—Authentication— Reading Username/Password
Logger
03-06 1444
验证用户身份最常见的方法之一是验证用户名和密码。因此,Spring Security为使用用户名和密码进行身份验证提供了全面的支持。Spring Security为从HttpServletRequest读取用户名和密码提供了三种内置机制:Form、Basic、Digest。 Form Login Spring Security支持通过html表单提供用户名和密码。本节详细介绍了基于表单的身份验证如何在Spring Security中工作。 让我们看看Spring Security中基于表单的登录是如何工作的
Web APi之认证(Authentication)两种实现方式后续【三】
极客神殿
02-03 3104
话题看到博客也有对于我最近有关Web APi中认证这篇文章的评论和疑问,【其中就有一个是何时清除用户的信息呢】,我当时也就仅仅想想的是认证,所以对于这个问题也不知如何解答,后来还是想了想在这个地方还是略有不足,认证成功之后其信息会一直存在,我们怎样去灵活的控制呢?关于用户的信息的清除或者将问题抽离出来可以这样说:【在Web APi中如何维护Session呢?】于是乎,就诞生了这篇文章的出现。这篇文章
拦截器中: @Override public boolean preHandle(HttpServletRequest request, H //退出 @GetMapping("/logout") public String Logout(@CookieValue("ticket") String ticket) { System.out.println("ticket=" + ticket); userService.logout(ticket); SecurityContextHolder.clearContext(); return "redirect:/toLogin"; }ttpServletResponse response, Object handler) throws Exception { //获取cookie String ticket = CookieUtil.getCookie(request, "ticket"); //清除cookie //CookieUtil.deleteCookie(response,"4e8a742b33ae4adaa5f06da2ab78ac5e"); System.out.println("preHandle-->"+"ticket:"+ticket); if(ticket!=null){ //查询凭证 LoginTicket loginTicket = userService.findLoginTicket(ticket); //有效凭证 if(loginTicket!=null&&loginTicket.getStatus()==0&&loginTicket.getExpired().after(new Date())){ //根据凭证查询用户 User user = userService.findUserById(loginTicket.getUserId()); //在本次请求中持有用户 hostHolder.setUser(user); //构建用户认证的结果,并存入SecurityContext,以便于Security进行授权 Authentication authentication =new UsernamePasswordAuthenticationToken( user,user.getPassword(),userService.getAuthorities(user.getId()) ); SecurityContextHolder.setContext(new SecurityContextImpl(authentication)); //请求的用户都不一样,每一次请求都会创建一个新的线程。 System.out.println("在本次请求中持有用户-->"+user); } } return true; } 退出登录:
最新发布
05-31
感谢您提供了更加详细的代码,根据您提供的代码,我再次检查了您的退出登录逻辑,发现其中有以下问题: 1. 在退出登录时,您只是将Redis中的ticket状态修改为1表示无效,但是并没有删除Cookie,这可能会导致在退出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值