[.NET 基于角色安全性验证] 之二:ASP.NET Forms 身份验证流程分析

最新推荐文章于 2024-11-18 17:15:07 发布
最新推荐文章于 2024-11-18 17:15:07 发布
阅读量306 收藏
点赞数
分类专栏: 技术文章 文章标签: forms asp.net .net null application string

MSDN 中提及 FormsAuthenticationModule 在 Forms 身份验证中起到了关键作用,那么这背后究竟隐藏了什么?本分将简要分析 Forms 身份验证流程,以便让大家更加清楚地了解并使用它。

FormsAuthenticationModule 是一个 Http Module,Forms 身份验证通过 FormsAuthenticationModule 参与 ASP.NET 页的生命周期。它在网站应用启动时被初始化,并拦截访问请求,我们继续看看它的细节。

复制   保存 
public void Init(HttpApplication app)
{
    // 绑定 HttpApplication 的两个事件,以此来拦截系统的访问请求。
    app.AuthenticateRequest += new EventHandler(this.OnEnter);
    app.EndRequest += new EventHandler(this.OnLeave);
}

private void OnEnter(object source, EventArgs eventArgs)
{
    if (!FormsAuthenticationModule._fAuthChecked || FormsAuthenticationModule._fAuthRequired)
    {
        HttpApplication application1 = (HttpApplication) source;
        HttpContext context1 = application1.Context;

        // 读取 Forms 认证的配置信息
        AuthenticationSection section1 = RuntimeConfig.GetAppConfig().Authentication;
        section1.ValidateAuthenticationMode();

        // 确认 Forms 验证模式
        if (!FormsAuthenticationModule._fAuthChecked)
        {
            FormsAuthenticationModule._fAuthRequired = section1.Mode == AuthenticationMode.Forms;
            FormsAuthenticationModule._fAuthChecked = true;
        }

        if (FormsAuthenticationModule._fAuthRequired)
        {
            // 设置缺省参数
            if (!this._fFormsInit)
            {
                FormsAuthentication.Initialize();
                this._FormsName = section1.Forms.Name;
                if (this._FormsName == null)
                {
                    this._FormsName = ".ASPXAUTH";
                }
                FormsAuthenticationModule.Trace("Forms name is: " + this._FormsName);
                this._LoginUrl = section1.Forms.LoginUrl;
                if (this._LoginUrl == null)
                {
                    this._LoginUrl = "login.aspx";
                }
                this._fFormsInit = true;
            }

            // 调用验证核心方法
            this.OnAuthenticate(new FormsAuthenticationEventArgs(context1));

            CookielessHelperClass class1 = context1.CookielessHelper;
            if (AuthenticationConfig.AccessingLoginPage(context1, this._LoginUrl))
            {
                context1._skipAuthorization = true;
                class1.RedirectWithDetectionIfRequired(null, FormsAuthentication.CookieMode);
            }
            if (!context1.SkipAuthorization)
            {
                context1._skipAuthorization = AssemblyResourceLoader.IsValidWebResourceRequest(context1);
            }
        }
    }
}

private void OnAuthenticate(FormsAuthenticationEventArgs e)
{
    HttpCookie cookie1 = null;
    if (this._eventHandler != null)
    {
        this._eventHandler(this, e);
    }

    // 检查 User 对象,以确认是否已通过验证。
    if ((e.Context.User != null) || (e.User != null))
    {
        // 处理 Global.asax FormsAuthentication_OnAuthenticate 事件参数。
        if (e.Context.User == null)
        {
            e.Context._user = e.User;
        }
    }
    else
    {
        FormsAuthenticationTicket ticket1 = null;
        bool flag1 = false;
        try
        {
            // 从 Cookie 中提取验证票证对象
            ticket1 = FormsAuthenticationModule.ExtractTicketFromCookie(e.Context, this._FormsName, out flag1);
        }
        catch
        {
            ticket1 = null;
        }

        if ((ticket1 != null) && !ticket1.Expired)
        {
            FormsAuthenticationTicket ticket2 = ticket1;

            // 刷新票证信息
            if (FormsAuthentication.SlidingExpiration)
            {
                ticket2 = FormsAuthentication.RenewTicketIfOld(ticket1);
            }

            // 创建主体和标识对象
            e.Context._user = new GenericPrincipal(new FormsIdentity(ticket2), new string[0]);

            if (!flag1 && !ticket2.CookiePath.Equals("/"))
            {
                cookie1 = e.Context.Request.Cookies[this._FormsName];
                if (cookie1 != null)
                {
                    cookie1.Path = ticket2.CookiePath;
                }
            }
            if (ticket2 != ticket1)
            {
                if ((flag1 && (ticket2.CookiePath != "/")) && (ticket2.CookiePath.Length > 1))
                {
                    ticket2 = new FormsAuthenticationTicket(ticket2.Version, ticket2.Name, ticket2.IssueDate, ticket2.Expiration, ticket2.IsPersistent, ticket2.UserData, "/");
                }

                // 加密新的票证,并写入 Cookie。
                string text1 = FormsAuthentication.Encrypt(ticket2);
                if (flag1)
                {
                    e.Context.CookielessHelper.SetCookieValue('F', text1);
                    e.Context.Response.Redirect(e.Context.Request.PathWithQueryString);
                }
                else
                {
                    if (cookie1 != null)
                    {
                        cookie1 = e.Context.Request.Cookies[this._FormsName];
                    }
                    if (cookie1 == null)
                    {
                        cookie1 = new HttpCookie(this._FormsName, text1);
                        cookie1.Path = ticket2.CookiePath;
                    }
                    if (ticket2.IsPersistent)
                    {
                        cookie1.Expires = ticket2.Expiration;
                    }
                    cookie1.Value = text1;
                    cookie1.Secure = FormsAuthentication.RequireSSL;
                    cookie1.HttpOnly = true;
                    if (FormsAuthentication.CookieDomain != null)
                    {
                        cookie1.Domain = FormsAuthentication.CookieDomain;
                    }
                    e.Context.Response.Cookies.Add(cookie1);
                }
            }
        }
    }
}

private void OnLeave(object source, EventArgs eventArgs)
{
    // 调整 URL
    if (FormsAuthenticationModule._fAuthChecked && FormsAuthenticationModule._fAuthRequired)
    {
        HttpApplication application1 = (HttpApplication) source;
        HttpContext context1 = application1.Context;
        if (context1.Response.StatusCode == 0x191)
        {
            string text3;
            string text1 = null;
            if (!string.IsNullOrEmpty(this._LoginUrl))
            {
                text1 = AuthenticationConfig.GetCompleteLoginUrl(context1, this._LoginUrl);
            }
            if ((text1 == null) || (text1.Length <= 0))
            {
                throw new HttpException(SR.GetString("Auth_Invalid_Login_Url"));
            }
            CookielessHelperClass class1 = context1.CookielessHelper;
            string text2 = context1.Request.PathWithQueryString;
            if (text1.IndexOf('?') >= 0)
            {
                text1 = FormsAuthentication.RemoveQueryStringVariableFromUrl(text1, "ReturnUrl");
                text3 = text1 + "&ReturnUrl=" + HttpUtility.UrlEncode(text2, context1.Request.ContentEncoding);
            }
            else
            {
                text3 = text1 + "?ReturnUrl=" + HttpUtility.UrlEncode(text2, context1.Request.ContentEncoding);
            }
            int num1 = text2.IndexOf('?');
            if ((num1 >= 0) && (num1 < (text2.Length - 1)))
            {
                text2 = FormsAuthentication.RemoveQueryStringVariableFromUrl(text2, "ReturnUrl");
            }
            num1 = text2.IndexOf('?');
            if ((num1 >= 0) && (num1 < (text2.Length - 1)))
            {
                text3 = text3 + "&" + text2.Substring(num1 + 1);
            }
            class1.SetCookieValue('F', null);
            class1.RedirectWithDetectionIfRequired(text3, FormsAuthentication.CookieMode);
            context1.Response.Redirect(text3, false);
        }
    }
}


通过对 FormsAuthenticationModule 代码的分析,我们基本可以确定 ASP.NET Forms 身份验证流程。

1. 拦截系统访问,检查身份验证状态。
2. 如未通过验证,则跳转到指定的 loginUrl 接受用户身份数据验证。
3. 如已通过验证,则从 Cookie 中提取身份验证票证对象。
4. 创建用户标识和主体对象,其中标识对象包含了票证引用。
5. 更新票证过期时间,重新写入 Cookie。
6. 调整URL参数,重定向页面。

在整个验证流程中,我们可以看到几个验证的核心类型。包括:

FormsAuthenticationTicket :身份验证票证,保存用户名、过期时间、自定义数据等信息。经 FormsAuthentication.Encrypt 方法加密成字符串后保存到 Cookie 或者 URL 参数中。

GenericPrincipal :用户主体对象。HttpContext.User 就是该类型,用来保存用户身份数据,诸如:FormsIdentity、FormsAuthenticationTicket 等。

FormsIdentity:用户标识对象,可通过 HttpContext.Current.User.Identity 访问。其 Ticket 属性保存了用户身份验证票据引用。

HttpContext:ASP.NET 为每个用户创建的上下文对象,用来保存该用户的相关信息,诸如 Session、GenericPrincipal 等。

FormsAuthentication:ASP.NET Forms 身份验证的核心类之一,其静态属性可访问 Forms Web.config 配置,相关方法用来操作身份验证数据。

yom_an
关注
专栏目录
ASP.NET Internet安全Forms身份验证方法
01-01
ASP.NET 安全性的工作原理 网站在安全性方面有一个常见的要求:特定的页面仅允许某些成员或其他经过身份验证的用户浏览.充分利用Forms身份验证是最好的方式. 身份验证 从实现机制来说ASP.NET1.1与ASP.NET2.0的安全...
Asp.Net Core中基于Session的身份验证的实现
10-18
需要注意的是,Asp.Net Core推荐使用更安全、可扩展的身份验证机制,如Cookie身份验证或JWT,它们提供了更好的跨域支持和安全性。但是,如果对Session有特定需求,或者是在迁移旧项目时需要保留Session机制,上述...
[.NET 基于角色安全性验证] 之三:ASP.NET Forms 身份验证
zengxin2008的专栏
11-29 595
[.NET 基于角色安全性验证] 之三:ASP.NET Forms 身份验证 [ 2006-08-08 11:11:56 | 作者: yuhen ] 字号: 大 | 中 | 小 在开发过程中,我们需要做的事情包括: 1. 在 web.config 中设置 Forms 身份验证相关参数。 2. 创建登录页。 登录页中的操作包括: 1. 验证用户名和密码是否正
掌握 ASP.NET Web 开发:从基础到身份验证
qq_45728381的博客
10-07 1743
是微软开发的一个功能强大的框架,广泛用于构建现代化的 Web 应用程序。它支持 MVC 架构、Web API、Razor 语法,并提供完善的身份验证与授权机制。本文将介绍的基础知识、MVC 模式、Web API 开发、Razor 语法,以及如何实现身份验证与授权。
ASP.NET的安全模式(身份验证
岳岩的编程博客
04-12 572
ASP.NET安全模式根据所请求资源的类型,IIS能够自己处理请求,也可以不自己处理请求。如果资源请求一个ASPX页面,则IIS将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给ASP.NET。接下来要发生的事情就取决于ASP.NET的配置。ASP.NET支持3种授权方法:Windows,Passport和Form。表示ASP.NET自己根本不执行身份验证,完全依赖于IIS身份验证。在这种情...
ASP.NET网站开发Forms安全验证
刘艳超编程路的里程碑
04-12 259
一、安全模式    安全模式分为4种,分别是Windows验证,Passport验证,Form验证,None验证,None验证是不进行验证,所以今天要介绍的只有三种;    一)、Windows身份验证        Windows身份验证是将请求直接发送给IIS,这类身份验证在内联网环境中非常有效,在该环节中,可以让服务器处理这个验证过程,尤其是用户已登录到网络上是,只需要获取并利用已有证书就可...
[.NET 基于角色安全性验证] 之五:跨应用程序进行 Forms 身份验证
maseccc的专栏
10-01 529
MSDN 文档ms-help://MS.MSDNQTR.v80.chs/MS.MSDN.v80/MS.VisualStudio.v80.chs/dv_aspnetcon/html/99e2f9e8-5b97-4a4d-a4ed-5f93276053b7.htmASP.NET 支持在分布式环境中(跨单个服务器上的多个应用程序或在网络场中)进行 Forms 身份验证。如果启用了跨多个 ASP.NET
ASP.NET 身份验证、会话状态
u013400314的博客
09-26 1019
持久性 Cookie 不超时。在认证阶段,ASP.NET会检查当前请求,根据web.config设置的认证方式,尝试构造HttpContext.User对象供我们在后续的处理中使用。在授权阶段,会检查当前请求所访问的资源是否允许访问,因为有些受保护的页面资源可能要求特定的用户或者用户组才能访问。mode="SqlServer" 存储在sql server中特点:工作负载会变大,但信息不会丢失 stateConnectionString :指定asp.net应用程序存储远程会话状态的服务器名,默认为本机。
浅谈asp.net Forms身份验证详解
10-20
ASP.NET Forms身份验证.NET Framework中用于Web应用程序的一种安全机制,它允许开发者为用户提供安全的登录体验,同时保护敏感信息和资源。这种身份验证模式基于HTTP的Cookie机制,通过将用户的凭据(如用户名和...
ASP.NET Forms身份认证
10-20
ASP.NET中,身份验证模式可以设置为多种类型,如Windows、Forms、Passport等,而Forms身份验证是常用的一种,特别是在非域环境下的Web应用。 在上述例子中,我们看到ASP.NET Forms身份认证通过Web.config文件进行...
ASP.NET MVC宠物商城系统
chnagxu的博客
11-14 1063
该系统采用B/S架构,使用C#编程语言进行开发,以ASP.NET MVC框架为基础,以Visual Studio 2019为开发工具,数据库采用SQL Server进行保存数据。系统主要功能包括登录注册、宠物展示、个人中心、我的订单、购物车、用户管理、宠物类别管理、宠物管理、订单管理、评论管理、库存管理等功能。用户注册在注册页面输入用户名、密码、真实姓名、手机号等信息后,点击注册,即可完成用户的注册。用户注册功能如图1.2所示。图1.2用户注册功能图登录。
.NET 9 - BinaryFormatter移除
limingdinghao的博客
11-15 783
NET 9 SDK正式版已经发布, 下载地址是.NET9同时.NET Conf 2024 大会已经从2024-11-13开始了,感觉Aspire和AI的内容相对挺多的,主题分享演示时候打开的网站大部分都是Blazor制作的。这次.NET Conf 2024老师也再次说明了一下,note, BinaryFormatter 存在remote code execution的安全问题BinaryFormatter 从.NET8开始,已经被标记为Obsolete。
界面控件DevExpress WinForms v24.2新功能预览 - 支持.NET 9
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
11-18 706
界面控件DevExpress WinForms v24.2在今年年末更新,新版本将支持.NET 9等,欢迎关注我们及时获取最新消息~
.NET 通过模块和驱动收集本地EDR的工具
ahhacker86的专栏
11-18 391
Sharp4ChkEdr.exe 是一款专门用于检查本地主机上运行的EDR的工具。它会检测本地正在运行的进程、加载的 DLL、服务、驱动程序等,识别和标记出与防御性产品相关的模块,帮助内网渗透时确定是否存在监控或防护产品。
.NET 9 中 IFormFile 的详细使用讲解
滴水成河,汇流成海
11-13 730
IFormFile是一个表示上传文件的接口,它提供了以下属性和方法:: 获取上传文件的MIME类型。: 获取与文件关联的Content-Disposition数据。Headers: 获取与文件关联的HTTP头。Length: 获取上传文件的大小(以字节为单位)。Name: 获取上传文件的名称。FileName: 获取上传文件的完整文件名。: 将文件内容异步复制到指定的流中。
.NET 9中数据集合类型及其性能比较与应用场景分析
滴水成河,汇流成海
11-14 863
当需要频繁进行随机访问操作,且数据量较大但不是极端大时,List是一个不错的选择。:当需要保持键值对的有序性,并且键的数量不是非常大时。:当需要通过键快速查找值,并且数据量很大时。:当键的数量非常大时,因为SortedList的插入和删除操作是O(n)的时间复杂度。:当需要保持元素的有序性,并且需要快速查找、添加和删除操作时。:当需要频繁在列表中间插入或删除元素时,因为这样的操作会导致大量元素的移动,从而降低性能。:当需要保持元素的顺序时,因为HashSet不保证元素的顺序。
.NET架构师学习大纲
战族狼魂的博客
11-18 1152
微服务架构解析:1 从单体到微服务架构2 微服务1.0/2.0/3.03 微服务 vs SOA4 微服务 vs 中台。
使用 .NET 创建新的 WPF 应用
RZer的博客
11-18 508
使用 Visual Studio 创建新的 Windows Presentation Foundation (WPF) 应用。 使用 Visual Studio,可以向窗口添加控件以设计应用的 UI,并处理这些控件中的输入事件以与用户交互。
java源码资源手机游戏J2ME毕业设计
最新发布
11-18
java源码资源手机游戏J2ME毕业设计提取方式是百度网盘分享地址
ASP.NET Web应用安全:Forms身份验证详解
"ASP.NET Internet安全Forms身份验证方法主要探讨如何使用IIS和Forms身份验证ASP.NET Web应用中创建安全环境。此方法是广泛采用的验证和授权手段。本文对比了ASP.NET 1.1和2.0版本中Forms身份验证的实现,并介绍了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值