Пользовательская аутентификация и ASP.NET MVC

Question

Пользовательская аутентификация и ASP.NET MVC

27

У меня есть встроенное веб-приложение, встроенное в ASP.NET 4. Мы застряли в использовании API аутентификации, созданного другой командой. Если пользователь сайта успешно прошел аутентификацию для сайта, я хотел бы предоставить им доступ ко всему сайту.

В ASP.NET дни WebForm я просто использовал для сохранения пользовательского объекта User в сеансе. Если этот объект был пустым, я знал, что пользователь не прошел проверку подлинности. Есть ли подобный, но улучшенный метод для этого в MVC. Я не хочу, если возможно, создавать собственный поставщик модели членства ASP.NET. Каков самый простой способ сделать это?

BuddyJoe 03 сен. 2013, в 16:34

Источник

1

Разве вы не можете просто установить билет аутентификации вручную после вызова вашего старого API?
TheKingDave 03 сен. 2013, в 14:09
1

Если установлен FormsAuthenticationTicket , вы можете использовать Request.IsAuthenticated и User.Identity чтобы определить, вошел ли пользователь в систему. Также будет работать атрибут Authorize .
Henk Mollema 03 сен. 2013, в 14:10
3

К вашему сведению, обработка аутентификации в сеансе - очень плохая идея, она небезопасна (cookie не зашифрованы и не легко похищаются), и склонна к сбоям, так как сеанс может быть переработан в любое время. Вместо этого используйте FormsAuthentication
Erik Funkenbusch 03 сен. 2013, в 14:31
0

Отличная обратная связь. Спасибо TheKingDave, Хенк, Мистер
BuddyJoe 03 сен. 2013, в 20:04
1

Иногда решение находится на другом вопросе, кто-то уже сделал очень гибкое решение здесь на stackoverflow без необходимости жестко закодированного имени роли, есть полный код: stackoverflow.com/questions/9043831/…
user3203465 16 янв. 2014, в 16:54
0

@BuddyJoe, я делаю то же самое. Вы не возражаете, если я спрошу, с каким решением вы пошли?
RayLoveless 11 апр. 2016, в 22:21
0

@HenkMollema Я использую FormsAuthenticationTicket , но я не могу использовать User.Identity и Authorize не работает
Ikelie Cyril 30 июнь 2018, в 18:00

Показать ещё 5 комментариев

Теги:

c#

asp.net

asp.net-mvc

asp.net-mvc-4

5 ответов

Ещё вопросы

Разве вы не можете просто установить билет аутентификации вручную после вызова вашего старого API?
Если установлен FormsAuthenticationTicket , вы можете использовать Request.IsAuthenticated и User.Identity чтобы определить, вошел ли пользователь в систему. Также будет работать атрибут Authorize .
К вашему сведению, обработка аутентификации в сеансе - очень плохая идея, она небезопасна (cookie не зашифрованы и не легко похищаются), и склонна к сбоям, так как сеанс может быть переработан в любое время. Вместо этого используйте FormsAuthentication
Отличная обратная связь. Спасибо TheKingDave, Хенк, Мистер
Иногда решение находится на другом вопросе, кто-то уже сделал очень гибкое решение здесь на stackoverflow без необходимости жестко закодированного имени роли, есть полный код: stackoverflow.com/questions/9043831/…
@BuddyJoe, я делаю то же самое. Вы не возражаете, если я спрошу, с каким решением вы пошли?
@HenkMollema Я использую FormsAuthenticationTicket , но я не могу использовать User.Identity и Authorize не работает

Jatin patil · Answer 1 · 2013-09-03T15-08-00.000Z

Вы можете использовать Forms Authentication в сочетании с Authorize следующим образом:

Чтобы ограничить доступ к представлению:

Добавьте атрибут AuthorizeAttribute в объявление метода действия, как показано ниже,

[Authorize]
public ActionResult Index()
{
    return View();
}

Настройка проверки подлинности форм в web.config

<authentication mode="Forms">
     <forms loginUrl="~/Account/Login" timeout="2880" />
</authentication>

Вход в систему Действие: Установите файл cookie аутентификации, если он действителен.

[HttpPost]
public ActionResult Login(User model, string returnUrl)
{
        //Validation code

        if (userValid)
        {
             FormsAuthentication.SetAuthCookie(username, false);
        }
}

Выход из системы Действие:

public ActionResult LogOff()
{
    FormsAuthentication.SignOut();
    return RedirectToAction("Index", "Home");
}

Нужно ли указывать [Authorize] для каждого метода Controller во всем приложении? Я только хочу открыть два метода контроллера для анонимных пользователей (~ / Account / Login GET и POST). Кажется, должен быть лучший способ. Требуется ли для этого фильтр? пользовательский атрибут? Спасибо за вашу помощь. +1
В этом случае посмотрите здесь blogs.msdn.com/b/rickandy/archive/2011/05/02/…
Почему новое удостоверение ASP не может быть таким простым, как FormsAuthentication ? asp.net/identity

volpav · Answer 2 · 2013-09-03T15-44-00.000Z

Вероятно, вы захотите создать настраиваемый фильтр авторизации. Вот пример: Пользовательские фильтры в MVC. Вы можете применить этот фильтр по всему миру в начале приложения (используя RegisterGlobalFilters).

public class LegacyAuthorize : AuthorizeAttribute
{
  public override void OnAuthorization(HttpActionContext actionContext)
  {
    if (HttpContext.Current.Session["User"] == null)
      base.HandleUnauthorizedRequest(actionContext);
  }
}

Тогда в вашем global.asax у вас будет что-то вроде этого:

GlobalFilters.Filters.Add(new LegacyAuthorize());

Переопределение атрибута Authorize может быть опасным, особенно если проверяется только сеанс. Идентификатор сеанса не создается повторно, что может привести к перехвату сеанса через XSS и т. Д. Blog.securityps.com/2013/06/… и support.microsoft.com/en-us/kb/899918

Daniele · Answer 3 · 2013-09-03T14-22-00.000Z

Вы можете попробовать что-то вроде этого:

FormsAuthentication.SetAuthCookie(username, rememberMe);

чтобы установить cookie для аутентифицированного пользователя, просто используйте атрибут [Authorize] на контроллере или действии, которые нуждаются в аутентификации.

Попробуйте искать по этой теме для получения дополнительной информации, вы найдете много информации об аутентификации и авторизации в MVC.

Solmead · Answer 4 · 2013-09-03T14-59-00.000Z

Все, что вы можете сделать в формах, которые вы можете сделать в MVC, просто установите переменную сеанса в действии входа в контроллер.

Или вы можете сделать это: В действии входа добавьте formsauthentication.setauthcookie("username")

После этого любое действие с ключевым словом [Authorize] позволит текущему пользователю.

yogihosting · Answer 5 · 2015-06-20T13-24-00.000Z

Вы можете выполнить Аутентификацию сеанса, просто поместив значение переменной сеанса, когда логин будет успешным. Например,

public ActionResult Index(Models.Login login)
    {
        if (ModelState.IsValid)
        {
            Dal.Login dLogin = new Dal.Login();
            string result = dLogin.LoginUser(login);
            if (result == "Success")
                Session["AuthState"] = "Authenticated";
        }
        return View();
    }

Теперь трюк заключается в том, что у вас должна быть общая страница макета всех просмотров, на которые вы должны проверить наличие подлинности. И на этой странице макета просто проверяйте бритву таким образом -

<body>
    @if (Session["AuthState"] != "Authenticated")
    {
        Response.Redirect("~/login");
    }
    // other html
</body>

Я использую этот метод в панели администрирования приложения.

Просто предупреждаю, что этот метод опасен и может привести к фиксации сеанса или атаке перехвата сеанса. Идентификатор сеанса никогда не обновляется. Смотрите эту статью для быстрого объяснения недостатков. ТЛ; др; вам нужен куки-файл аутентификации, который является уникальным для авторизованного сеанса и идеально привязан к сеансу. blog.securityps.com/2013/06/...