ASP.NET MVC 如何使用 Form Authentication?

最新推荐文章于 2024-05-29 21:03:55 发布
最新推荐文章于 2024-05-29 21:03:55 发布
阅读量379 收藏 6
点赞数 5
分类专栏: C# asp.net 文章标签: asp.net mvc c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangshuquan/article/details/138636271
版权
C# 同时被 2 个专栏收录
42 篇文章 0 订阅
订阅专栏
asp.net
5 篇文章 0 订阅
订阅专栏

image

前言

.NET 的 Form Authentication 是一种基于表单的简单且灵活的身份验证机制,用户通过输入用户名和密码来登录应用程序,并且通过配置来控制用户访问权限。

在使用 Form Authentication 时,我们需要在 web.config 文件中配置身份验证和授权规则,以及指定登录页面和登出页面等设置。

当用户访问需要身份验证的页面时,系统会自动重定向到登录页面,用户输入正确的用户名和密码后,系统在验证用户身份后生成一个身份验证票据,在后续的操作中,使用这个票据来确定用户的身份。

Form Authentication 是 ASP.NET 中内置的身份验证机制,使用起来相对简单,不需要额外的库或工具。

总的来说,相比 JWT 身份验证,Form Authentication 具有简单易用、自定义性强等优点,但同时也存在 CSRF(跨站请求伪造)等安全风险,适合用在简单的 Web 应用中。

下面讲一讲如何在 ASP.NET MVC 项目中使用 Form Authentication?

Step By Step 步骤

  1. 创建一个 ASP.NET MVC 项目

  2. 打开 Web.config,配置使用 Form Authentication

    <configuration>
	<system.web>
		<authentication mode="Forms">
		  <forms name=".login" loginUrl="login" timeout="30" slidingExpiration="true" />
		</authentication>
		......
	</system.web>
	......
</configuration>

  3. 增加一个Attribute类,继承自 AuthorizeAttribute,留意注释

    using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;

namespace Ando.ERP.Client.Mvc.Attribute
{
	/// <summary>
	/// 自定义身份验证特性
	/// </summary>
	public class CustomAuthorzieAttribute: AuthorizeAttribute
	{
		private string _controllerName = string.Empty;
		private string _actionName = string.Empty;

		/// <summary>
		/// 重写基类的 OnAuthorization 方法 
		/// 
		/// OnAuthorization 是该类的总入口
		/// </summary>
		/// <param name="filterContext"></param>
		public override void OnAuthorization(AuthorizationContext filterContext)
		{
			_controllerName = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName;
			_actionName = filterContext.ActionDescriptor.ActionName;

			base.OnAuthorization(filterContext);
		}

		/// <summary>
		/// 重写基类的 AuthorizeCore 方法
		/// OnAuthorization 会首先调用此方法进行处理
		/// </summary>
		/// <param name="httpContext"></param>
		/// <returns></returns>
		protected override bool AuthorizeCore(HttpContextBase httpContext)
		{
			//Login UI,Don't need authentication and return true
			if (_controllerName.ToLower() == "login")
			{
				return true;
			}

			if (httpContext.Session["UserInfo"] == null || httpContext.User == null || !httpContext.User.Identity.IsAuthenticated)
			{
				return false;
			}

			return true;
		}

		/// <summary>
		/// 重写基类的 HandleUnauthorizedRequest 方法
		/// 当 AuthorizeCore 方法返回 false,OnAuthorization 会继续调用此方法进行处理
		/// </summary>
		/// <param name="filterContext"></param>
		protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
		{
			base.HandleUnauthorizedRequest(filterContext);
		}
	}
}

  4. 在 App_Start/FilterConfig.cs 中注册自定义的 CustomAuthorzieAttribute

    using Ando.ERP.Client.Mvc.Attribute;
using System.Web;
using System.Web.Mvc;

namespace Ando.ERP.Client.Mvc
{
	public class FilterConfig
	{
		public static void RegisterGlobalFilters(GlobalFilterCollection filters)
		{
			filters.Add(new HandleErrorAttribute());
			filters.Add(new CustomAuthorzieAttribute());
		}
	}
}

  5. 新建登录控制器文件写登录方法如 LoginController.cs

    using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Security;
using Ando.ERP.Logger;
using Ando.ERP.BLL;
using Ando.ERP.BLL.Model;

namespace Ando.ERP.Client.Mvc.Controllers
{
	/// <summary>
	/// 登录模块
	/// </summary>
	public class LoginController : Controller
	{
		/// <summary>
		/// Login UI
		/// </summary>
		/// <returns></returns>
		public ActionResult Index()
		{
			// Go to Home page if has logged in
			if (this.Session["UserInfo"] != null && this.User != null && this.User.Identity.IsAuthenticated)
			{
				return RedirectToAction("Index", "MainMenu"); 
			}

			// Else display Login page
			return View();
		}

		/// <summary>
		/// 登录 API
		/// </summary>
		/// <param name="userName"></param>
		/// <param name="password"></param>
		/// <returns></returns>
		[HttpPost]
		public ActionResult Login(string userName, string password)
		{
			string status, msg, reurl;
			var userAuthentication = new BLL.UserAuth.UserAuthentication();
			var userAuthResult = userAuthentication.Login(userName, password);
			if (userAuthResult.LoginStatus)
			{
				FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, userName, DateTime.Now, DateTime.Now.AddMinutes(30), true, "Valid User", "/");
				string HashTicket = FormsAuthentication.Encrypt(Ticket);
				HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);
				HttpContext.Response.Cookies.Add(UserCookie);
				HttpContext.Session["UserInfo"] = userAuthResult;

				status = "1";
				msg = "sucessful!";
				reurl = "";
			}
			else
			{
				status = "0";
				msg = "登录失败!";
				reurl = "";
			}

			return Json(new { status = status, msg = msg, data = userAuthResult, reurl = reurl });
		}
	}
}

  6. 在前端即可以通过 Ajax 之类的技术调用这个 API 进行登录,或者通过 Postman 进行测试。

代码掌控者
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net mvc 学习总结
Tusk_Act4的博客
01-01 1853
自学MVC看这里——全网最全ASP.NET MVC 教程汇总 http://www.cnblogs.com/powertoolsteam/archive/2015/08/13/4667892.html MVC架构已深得人心,微软也不甘落后,推出了Asp.net MVC。小编特意整理博客园乃至整个网络最具价值的MVC技术原创文章,为想要学习ASP.NET MVC技术的学习者提供一个整合学习入口。本文从Why,What,How三个角度整理MVC 的学习资源,让学习者第一时间找到最有价值的文章,获取最彻底的ASp
Asp.net mvcFormsAuthentication验证
歇息的专栏
03-25 1095
Form验证是微软给开发人员提供的一个类,它的作用是用户登录之后,把相关信息写到cookie里面,然后设置一个过期时间,如果在这个有效时间内,用户无需登录,否则,cookie失效,用户需要重新登录。 废话不多说,先上代码: 首先,我们写一个类,这个类保存用户的基本信息,就是保存到cookie里面的信息: [Serializable()] public class Identi
关于ASP.NET MVCForm Authentication与Windows Authentication的简单理解
weixin_30955341的博客
07-07 158
一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token. 一般企业内部的应用,企业内部信息系统,使用Windows Auhentica...
ASP.Net MVC Form认证漏洞及处理
WinsonYang的专栏
02-22 363
只能清除客户端的cookies认证信息,并没有方法清除服务端里保存的认证信息,因此若获得了客户端的cookies(里面含有FormsAuthentication生成的ticket认证信息)就可以用如postman等的工具直接访问controler,直到服务端的ticket过期。请求的Controler是继承了AuthorizeAttribute,在浏览器页面中访问时正常鉴权的,而且发现AuthorizeAttribute只对浏览器页面访问生效,用接口工具不能触发。用SSL加密传输,这很普遍,不加阐述。
ASP.NET MVC中的身份验证
fdyhbycsdn的博客
10-24 1443
传统的登录验证方式,是通过将用户的登录状态信息保存在服务端的Session中,再利用客户端浏览器的Cookie保存SessionID,这样,浏览器每次在向服务端发起请求时,都会携带该Cookie值,服务端可以根据相应的SessionID来获取匹配的Session信息,并进行验证。 但在 ASP.NETMVC中则提供了AuthorizeAttribute类,可以用来限制指定的Controller或Action,只能够被满足授权要求的用户进行访问。 当使用AuthorizeAttribute标记一个Co..
ASP.NET MVC Form表单验证与Authorize特性
weixin_46879188的博客
11-03 907
一、Form表单验证 1、基本概念 表单验证是一个基于票据(ticket-based)[也称为基于令牌(token-based)]的系统。当用户登录系统以后,会得到一个包含基于用户信息的票据(ticket)。这些信息被存放在加密过的cookie里面,这些cookie和响应绑定在一起,因此每一次后续请求都会被自动提交到服务器。 表单验证流程: (1)、用户请求一个需要验证身份后才可以访问的ASP.NET页面时,ASP.NET运行时验证这个表单验证票据是否有效。如果无效,ASP.NET自动将用户转到登录页面。
Asp.net MVC使用FormsAuthenticationMVC和WEB API可以共享身份认证 (转载)
davy57345的博客
05-17 112
在实际的项目应用中,很多时候都需要保证数据的安全和可靠,如何来保证数据的安全呢?做法有很多,最常见的就是进行身份验证。验证通过,根据验证过的身份给与对应访问权限。同在Web Api中如何实现身份认证呢?接下来的内容就介绍使用Asp.NetFormsAuthentication来同时做Mvc 和Web API的身份认证。 首先扩展自定义身份验证添加类 CustomAuthori...
ASP.NET MVC身份认证与授权
dust__的博客
05-21 1990
文章目录一、引言1.身份认证的含义2.身份认证与Session基于Session保存用户状态不足之处二、ASP.NET身份验证Forms验证FormsAuthentication类验证案例1.Forms验证案例2.使用User对象检查用户是否已验证3.修改根目录中Web.config配置文件4.用户注销四、身份授权Authorize特性实现授权Authorize特性注意Authorize实现高级授权案例 一、引言 1.身份认证的含义 例如:在现在浏览的某宝电商网站中会经常遇到的情况,想要将某件商品加入到购物
asp.net mvc core 集成微信登录功能
10-30
asp.net mvc core 集成微信登录功能
ASP.NET MVC 5 with Bootstrap and Knockout
09-14
第11章使用Attribute定义URL路由 Attribute路由基础知识 路由前缀 路由约束 小结 第12章胖模型、瘦控制器 关注点分离 服务与行为 小结 第四部分应用实例 第13章构建购物车 购物车需求 购物车项目 ...
ASP.NET MVC with Entity Framework and CSS
11-05
ASP.NET MVC with Entity Framework and CSS by Lee Naylor 2016 | ISBN: 1484221362 | English | 608 pages | True PDF | 30 MB This book will teach readers how to build and deploy a fully working example ...
SharePoint-AspNet-Authentication:Asp.Net MVC的SharePoint外接身份验证中间件(通过Owin的Asp.Net Core和Asp.Net MVC 5)
05-18
使用现代中间件方法对Asp.Net应用程序中的SharePoint加载项进行身份验证。 支持的Asp.Net版本: Asp.Net MVC 5 Asp.Net Core(MVC 6) 支持的加载项类型: 低信任度(SharePoint Online,低信任度方案中的...
计算机网络学习笔记——应用层
最新发布
ii804070359的博客
05-29 1038
客户/服务器(Client/Server,C/S)方式服务器总是处于运行状态,并等待客户的服务请求。服务器具有固定端口号(例如HTTP服务器的默认端口号为80),而运行服务器的主机也具有固定的IP地址。是因特网上传统的、同时也是最成熟的方式通常是服务集中型的,即应用服务集中在网络中比客户计算机少得多的服务器计算机上。对等(Peer-to-Peer,P2P)方式对等方相互之间直接通信,每个对等方既是服务的请求者,又是服务的提供者。
C# 运算符重载的技术深入分析
N201871643的博客
05-26 467
4.1 一元运算符一元运算符包括递增(`++`)、递减(`--`)等。```4.2 二元运算符二元运算符包括加法(`+`)、减法(`-`)、乘法(`*`)、除法(`/`)等。5.1 隐式与显式转换有时需要将自定义类型隐式或显式地转换为其他类型,这可以通过`implicit`和`explicit`关键字来实现。5.2 相等性比较通过重载`==`和`!=`运算符,可以控制两个对象之间的相等性比较逻辑。
C#【进阶】特殊语法
AMrss的博客
05-21 653
特殊语法。
【OpenVINO™】在C#使用 OpenVINO™ 部署 YOLOv10 模型实现目标
grape_yan的博客
05-27 993
最近YOLO家族又添新成员:YOLOv10,YOLOv10 提出了一种一致的双任务方法,用于无nms训练的YOLOs,它同时带来了具有竞争力的性能和较低的推理延迟。此外,还介绍了整体效率-精度驱动的模型设计策略,从效率和精度两个角度对YOLOs的各个组成部分进行了全面优化,大大降低了计算开销,增强了性能。在本文中,我们将结合OpenVINO™ C# API 使用最新发布的OpenVINO™ 2024.1部署YOLOv10 目标检测模型
C#面:如果出现ASP.NET中的事件不能触发可能由于什么原因造成
那个那个鱼的博客
05-26 829
以上是一些常见的导致 ASP.NET 中事件无法触发的原因。如果以上方法都没有解决问题,可能需要进一步检查代码逻辑或者调试来找出具体原因。
C#【进阶】俄罗斯方块
AMrss的博客
05-27 648
俄罗斯方块。
ASP.NET MVC
03-30
ASP.NET MVC is a web application framework for building dynamic web applications using the Model-View-Controller (MVC) architectural pattern. It is a part of the Microsoft ASP.NET framework and is ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值