MVC之认证与授权(1)

最新推荐文章于 2021-08-24 22:11:09 发布
最新推荐文章于 2021-08-24 22:11:09 发布
阅读量518 收藏
点赞数
分类专栏: ASP.NET MVC 文章标签: mvc asp.net mvc 5 .net c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34550459/article/details/106447412
版权

用户身份认证是web应用程序中常见的功能,只有特定的用户才能访问资源,不允许匿名访问,也就是在未登录的状态下进行访问,那么就需要验证用户的身份,以及做出相应的处理。
在这里插入图片描述
当web应用程序接收到用户的请求,服务器端将试图去认证用户
授权:
校验已认证的用户是否有权限访问请求的资源

认证的方式:
在这里插入图片描述
实现认证的方法:
在这里插入图片描述
本案例使用VS2017进行测试开发。
1.首先创建MVC项目,然后在App_Data文件下添加数据库db(便捷方式):
App_Data文件–>右键–>新建项

在这里插入图片描述
添加数据表user:
在这里插入图片描述
添加测试数据即可

2.在Models文件夹中,使用EF设计工具由数据库生成数据模型类(DBFirst模式):
在这里插入图片描述
3.添加Account控制器:
处理用户的注册、登录、以及退出

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using AuthenticationDemo.Models;
using System.Web.Security;

namespace AuthenticationDemo.Controllers
{
    public class AccountController : Controller
    {
        dbEntities db = new dbEntities();
        // GET: Account

        /// <summary>
        /// Signup页面初始化
        /// </summary>
        /// <returns></returns>
        public ActionResult Signup()
        {
            return View();
        }

        /// <summary>
        /// 接收表单提交
        /// </summary>
        /// <param name="u"></param>
        /// <returns></returns>
        [HttpPost]
        public ActionResult Signup(user u)
        {
            if(ModelState.IsValid)//检测表单验证是否已通过
            {
                db.users.Add(u);//添加用户
                if(db.SaveChanges()>0)//持久化操作,提交到数据库
                {
                    return RedirectToAction("Login");//重定向到Login动作方法
                }
            }
            return View();
        }

        /// <summary>
        /// 登录页面初始化
        /// </summary>
        /// <returns></returns>
        public ActionResult Login()
        {
            return View();
        }

        /// <summary>
        /// 登录页面表单提交
        /// </summary>
        /// <param name="u"></param>
        /// <param name="ReturnUrl"></param>
        /// <returns></returns>
        [HttpPost]
        public ActionResult Login(user u,string ReturnUrl)
        {
            if (ModelState.IsValid)//检测表单是否已验证通过
            {
                var user = db.users.Where(x => x.username == u.username && x.password == u.password).FirstOrDefault();
                if(user!=null)//检查用户是否存在
                {
                    FormsAuthentication.SetAuthCookie(u.username, false);//为用户创建一个身份凭证,用来标识用户
                    Session["uname"] = u.username.ToString();//将用户名保存到Session中(可用户标识所处于的状态(已登录/未登录))
                    if (ReturnUrl != null)
                    {
                        return Redirect(ReturnUrl);
                    }
                    else
                    {
                        return Redirect("/Home/Service");
                    }
                }
            }

            return View();
        }

        /// <summary>
        /// 退出登录状态
        /// </summary>
        /// <returns></returns>
        public ActionResult Logout()
        {
            FormsAuthentication.SignOut();//删除身份凭证
            Session["uname"] = null;//删除session值
            return Redirect("Login");//重定向到Login页面
        }
    }
}

添加SignUp注册页面:

@model AuthenticationDemo.Models.user
@{
    ViewBag.Title = "Signup";
}
<h2>Signup</h2>
@using (Html.BeginForm("Signup", "Account"))
{
    @Html.AntiForgeryToken()
    
    <div class="form-horizontal">
        <h4>user</h4>
        <hr />
        @Html.ValidationSummary(true, "", new { @class = "text-danger" })
        <div class="form-group">
            @Html.LabelFor(model => model.username, htmlAttributes: new { @class = "control-label col-md-2" })
            <div class="col-md-10">
                @Html.EditorFor(model => model.username, new { htmlAttributes = new { @class = "form-control" } })
                @Html.ValidationMessageFor(model => model.username, "", new { @class = "text-danger" })
            </div>
        </div>

        <div class="form-group">
            @Html.LabelFor(model => model.password, htmlAttributes: new { @class = "control-label col-md-2" })
            <div class="col-md-10">
                @Html.EditorFor(model => model.password, new { htmlAttributes = new { @class = "form-control" } })
                @Html.ValidationMessageFor(model => model.password, "", new { @class = "text-danger" })
            </div>
        </div>

        <div class="form-group">
            <div class="col-md-offset-2 col-md-10">
                <input type="submit" value="Signup" class="btn btn-default" />
            </div>
        </div>
    </div>
}

<div>
    @Html.ActionLink("Login", "Login")
</div>
<script src="~/Scripts/jquery-1.10.2.min.js"></script>
<script src="~/Scripts/jquery.validate.min.js"></script>
<script src="~/Scripts/jquery.validate.unobtrusive.min.js"></script>

添加Login登录页面:

@model AuthenticationDemo.Models.user
@{
    ViewBag.Title = "Login";
}
<h2>Login</h2>
@using (Html.BeginForm("Login","Account",FormMethod.Post)) 
{
    @Html.AntiForgeryToken()
    
    <div class="form-horizontal">
        <h4>user</h4>
        <hr />
        @Html.ValidationSummary(true, "", new { @class = "text-danger" })
        <div class="form-group">
            @Html.LabelFor(model => model.username, htmlAttributes: new { @class = "control-label col-md-2" })
            <div class="col-md-10">
                @Html.EditorFor(model => model.username, new { htmlAttributes = new { @class = "form-control" } })
                @Html.ValidationMessageFor(model => model.username, "", new { @class = "text-danger" })
            </div>
        </div>

        <div class="form-group">
            @Html.LabelFor(model => model.password, htmlAttributes: new { @class = "control-label col-md-2" })
            <div class="col-md-10">
                @Html.EditorFor(model => model.password, new { htmlAttributes = new { @class = "form-control" } })
                @Html.ValidationMessageFor(model => model.password, "", new { @class = "text-danger" })
            </div>
        </div>

        <div class="form-group">
            <div class="col-md-offset-2 col-md-10">
                <input type="submit" value="Login" class="btn btn-default" />
            </div>
        </div>
    </div>
}
<script src="~/Scripts/jquery-1.10.2.min.js"></script>
<script src="~/Scripts/jquery.validate.min.js"></script>
<script src="~/Scripts/jquery.validate.unobtrusive.min.js"></script>

4.添加Home控制器:
添加 Index、About、Service动作方法

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using AuthenticationDemo.Models;
namespace AuthenticationDemo.Controllers
{
    public class HomeController : Controller
    {
        public ActionResult Index()
        {
            return View();
        }

        public ActionResult About()
        {
            return View();
        }

        public ActionResult Service()
        {
            return View();
        }
    }
}

对应的Index视图:

@{
    ViewBag.Title = "Index";
}
<h2>Index</h2>
<div class="breadcrumb">
    <h3>This is MVC APP</h3>
    <p>We are Learning Authentication</p>
</div>

About视图:

@{
    ViewBag.Title = "About";
}
<h2>This is About View</h2>

Services视图:

@{
    ViewBag.Title = "Service";
}
<h2>Service</h2>
<ul>
    <li>Web Development</li>
    <li>Web SEO</li>
    <li>Web Designing</li>
    <li>Logo Designing</li>
</ul>

实现认证过滤器:
在这里插入图片描述
在这里插入图片描述
在System.Web.Mvc命名空间下提供了一些以Attribute为结尾的注解属性类
AuthorizeAttribute类:
指定对控制器或操作方法的访问仅限于满足授权要求的用户。
5.在Home控制器的Service动作方法上,添加Authorize属性:

[Authorize]
public ActionResult Service()
{
    return View();
}

运行并访问Service页面:显示无权访问
在这里插入图片描述
如果无权访问,应引导进行登录–>告诉MVC如果匿名访问,应先跳转到登录页面.
解决方案:
在Web.config配置文件中,配置认证节点:
forms authentication
此节点对应的是System.Web.Security命名空间下的FormsAuthentication类,提供了关于forms认证方式的信息

 <system.web>
    <!--配置authentication节点:拒绝匿名用户访问(相对于整个Web应用程序)
      loginUrl:用户如果没有登录,则跳转到登录页面
    -->
	<authentication mode="Forms">
      <forms loginUrl="~/Account/Login"></forms>
    </authentication>
    <compilation debug="true" targetFramework="4.5.2" />
    <httpRuntime targetFramework="4.5.2" />
  </system.web>

在View前台页面,根据Session中的key对应的value是否为空,控制内容的显示/隐藏:

@*检测用户是否已登录*@
@if (Session["uname"] != null)
{
<li><a href="">Dear @Session["uname"]</a></li>
<li>@Html.ActionLink("Logout", "Logout", "Account")</li>
}
else
{
<li>@Html.ActionLink("Login", "Login", "Account")</li>
}

添加退出登录的功能:
在Account控制器中,添加Logout动作方法:

/// <summary>
/// 退出登录状态
/// </summary>
/// <returns></returns>
public ActionResult Logout()
{
   FormsAuthentication.SignOut();//删除身份凭证
   Session["uname"] = null;//删除session值
   return Redirect("Login");//重定向到Login页面
}

Home控制器:

	[Authorize]  //强制要进行身份验证(拒绝进行匿名访问)---控制器中的所有方法都需要认证
    public class HomeController : Controller
    {
        dbEntities db = new dbEntities();
        // GET: Home
        [AllowAnonymous] //允许进行匿名访问
        public ActionResult Index()
        {
            return View();
        }

        //[Authorize]
        public ActionResult Service()
        {
            return View();
        }
    }

全局的认证过滤器:
在整个Web应用程序中,任何地方的调用都需要先进行认证
在Global.asax全局文件中:添加以下代码即可

GlobalFilters.Filters.Add(new AuthorizeAttribute());
极客研究者
关注
专栏目录
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
MVC学习之认证授权
diezheshi4909的博客
09-26 242
MVC学习之认证授权 Posted on 2009-05-25 01:50 西北老狼 阅读(206) 评论(0) 编辑 收藏 网摘 所属分类: MVC 现在NerdDinner范例程序可以让访问网站的任何人创建和编辑任何Dinner的信息。下面我们改变这些,仅仅注册和登录的用户才允许创建新的Dinner,并且增加限...
说一说MVCAuthentication过滤(四)
qq_39110534的博客
08-28 306
&#13; 前沿:&#13; 一般情况下,在我们做访问权限管理的时候,会把用户的正确登录后的基本信息保存在Session中,以后用户每次请求页面或接口数据的时候,拿到&#13; Session中存储的用户基本信息,查看比较他有没有登录和能否访问当前页面。&#13;        Session的原理,也就是在服务器端生成一个SessionID对应了存储的用户数据,而Sessi...
MVC简单用户登录授权认证
weixin_30496751的博客
05-06 117
1.控制器上面用 [Authorize] 属性标识,表示当前控制器内的所有函数需要用户认证才能访问 2.函数上面用 [AllowAnonymous] 属性标识,表示当前函数不需要用户认证可以直接访问 3.函数上面使用 [NonAction] 属性标识,表示此方法不作为控制器函数 代码: 1.HomeController namespace TestMVC.Controllers ...
ASP.NET MVC身份认证授权
dust__的博客
05-21 2130
文章目录一、引言1.身份认证的含义2.身份认证与Session基于Session保存用户状态不足之处二、ASP.NET身份验证Forms验证FormsAuthentication类验证案例1.Forms验证案例2.使用User对象检查用户是否已验证3.修改根目录中Web.config配置文件4.用户注销四、身份授权Authorize特性实现授权Authorize特性注意Authorize实现高级授权案例 一、引言 1.身份认证的含义 例如:在现在浏览的某宝电商网站中会经常遇到的情况,想要将某件商品加入到购物
ASP.NET MVC5认证授权实例
08-25
在这个实例中,我们将探讨的是如何在ASP.NET MVC5中实现认证授权,这是Web开发中的关键安全环节。 认证是识别用户身份的过程,而在ASP.NET MVC5中,我们可以使用内置的身份验证系统,它支持多种认证模式,如Forms...
mvc中使用Form进行身份认证与角色授权
01-04
在Form认证的基础上,MVC支持基于角色的授权,允许对用户进行更细粒度的权限控制。通过`[Authorize(Roles = "Role1, Role2")]`特性,可以限制只有指定角色的用户才能访问特定的控制器或操作方法。此外,还可以使用`...
Net MVC中身份认证授权
12-19
.NET MVC框架中,身份认证授权是两个关键的安全机制,用于确保只有授权的用户能够访问应用程序的特定资源。这两个概念在Web应用开发中扮演着至关重要的角色,尤其是在处理敏感数据或提供私有服务时。 身份认证...
ASP.NET MVC5 入门 之登录验证
07-31
"AccountController"中的方法如"Login"、"Logout"和"Register"都是与用户认证密切相关的。 "MvcLogin.Methods"可能是一个文档或代码片段,详细解释了"MvcLogin"项目中涉及的方法。例如,"Login"方法通常会检查用户...
使用cookie知道WebClient坚持ASP.NET MVC认证.zip
最新发布
01-30
"使用cookie知道WebClient坚持ASP.NET MVC认证"这个主题涉及到的核心知识点是如何使用Cookie来维持Web客户端(如浏览器)与服务器之间的会话状态,并通过WebClient类进行模拟登录和数据交互。 1. **Cookie原理**: ...
.NET MVC授权过滤器验证登录
11-29
.NET MVC授权过滤器验证登录,使用Filter过滤器 验证用户登录Authorization Filter
NETCore MVC登录授权
weixin_34124577的博客
12-01 1325
2019独角兽企业重金招聘Python工程师标准>>> ...
mvc 使用authentication 进行验证时,链接自动跳转。
wwttqq85538649的专栏
04-21 1750
<br /> <br />1.<br />使用form窗体验证,(第三种方式)<br />////创建身份验证票<br />2   FormsAuthenticationTicket AuTicket =new FormsAuthenticationTicket(<br />3 1, UserInfo.UserName, DateTime.Now, DateTime.Now.AddMinutes(30),<br />4 false, Request.UserHostAddress);<br />5 ////
MVC身份验证及权限管理
weixin_30950237的博客
03-27 229
MVC自带的ActionFilter 在Asp.Net WebForm的中要做到身份认证微软为我们提供了三种方式,其中最常用的就是我们的Form认证,需要配置相应的信息。例如下面的配置信息: <authentication mode="Forms"> <forms loginUrl="Login.aspx" defaultUrl="Default.aspx" prote...
ASP.Net MVC 登录授权验证
sanpi199274的专栏
03-31 706
public class Verify : AuthorizeAttribute { public override void OnAuthorization(AuthorizationContext filterContext) { var user = filterContext.HttpContext.Session["C...
MVC5 Authentication身份认证
weixin_30268071的博客
09-16 1581
Authentication身份认证方式分为两种:Windows、Forms;Windows认证方式适用于局域网。Forms认证方式既可适用于局域网,也可用于互联网。 在标准ASP.NET认证方式中 1.如何判断当前请求是一个已登录用户发起的? 如果Request.IsAuthenticated为true,则表示是一个已登录用户。 2.如何获取当前登录用户的登录名?如何获取当前用...
MVC用户认证web应用部分四
成熟
09-06 717
ControlServlet继承了HttpServlet,并对其dopost方法进行了重写。我们分析一下这个重写的dopost()方法。首先login.jsp表单的结果是由CheckServlet来处理的,action用来存储处理的信息,我们可以知道如果该用户是非法的,那么action就会被赋值out,如果用户是合法的,我们通过对CheckServlet的了解知道,页面被重新定向到index.js
ASP.NET MVC下的四种验证编程方式
「 刘一哥与GIS的故事」
09-01 1334
ASP.NET MVC采用Model绑定为目标Action生成了相应的参数列表,但是在真正执行目标Action方法之前,还需要对绑定的参数实施验证以确保其有效性,我们将针对参数的验证成为Model绑定。总地来说,我们可以采用4种不同的编程模式来进行针对绑定参数的验证。 目录  一、手工验证绑定的参数  二、使用ValidationAttribute特性  三、让数据类型实现IVal
使用mvc进行权限控制
m0_59277582的博客
08-24 431
拦截器 将用户请求同意拦截在拦截器中,在拦截器中定义规则,如果该请求不满足过滤规则,则返回首页,满足这放行。 在Spring MVC中拦截请求是通过处理器拦截器HandlerInterceptor来实现的,它拦截的目标是请求的地址。在Spring MVC中定义一个拦截器,需要实现HandlerInterceptor接口。 HandlerInterceptor 源码解析: 1.preHandle()方法 该方法将在请求处理之前被调用 2.postHandle()方法 该方法将在当.
ASP.NET MVC应用安全:认证授权详解
"ASP.NET安全,认证授权,XSS攻击,跨站请求伪造,Forms认证,Windows认证" 在开发ASP.NET MVC应用程序时,确保安全至关重要。安全涵盖多个方面,包括认证授权、防止XSS(跨站脚本攻击)以及防御CSRF(跨站请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值