ASP.NET MVC5登錄之（一）Forms身份認證

ASP.NET身份認證過程

在ASP.NET中，身份認證過程分為兩個部分：

認證：識別當前請求的用戶是否為可識別（已登錄）用戶骚勘；
授權(quán)：根據(jù)認證中識別的用戶決定是否允許當前用戶的請求訪問指定的資源。

其中Forms認證由FormsAuthenticationModule實現(xiàn)菠剩，URL授權(quán)檢查由UrlAuthorizationModule實現(xiàn)

認證（登錄與登出的實現(xiàn)）

//登錄
public static bool SignOn(string username,string password,bool persist)
{
    InterfaceUserService userService = null;
    if (userService == null)
    {
        userService = new UserService();
    }
    //此處省略參數(shù)合法性驗證   
  
    //驗證用戶名密碼是否正確溯警，若正確則設(shè)置Cookie
    if (userService.Validate(username, password))
    {
        SetAuthenticationTicket(username, persist);
        HttpCookie authCookie = FormsAuthentication.GetAuthCookie(username,persist);
        HttpContext.Current.Response.Cookies.Remove(authCookie.Name);
        HttpContext.Current.Response.Cookies.Add(authCookie);
        return true;
    }
    else
    {
        return false;
    }
}

//登出
public static void LogOut()
{
    HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName);
    //使cookie強制過期
    authCookie.Expires = DateTime.Now.AddYears(-30);
    authCookie.Path = HttpContext.Current.Request.ApplicationPath;

    HttpContext.Current.Response.Cookies.Add(authCookie);
    //退出登錄后執(zhí)行頁面重定向到主頁操作
}

//獲取登錄用戶名部分代碼，AuthenticationMoudel類中的UserName屬性
public string UserName
{
    get
    {
        var httpContext = HttpContext.Current;
        if (httpContext != null &&
            httpContext.Request != null &&
            httpContext.Request.IsAuthenticated)
        {
            try
            {
                return httpContext.User.Identity.Name;
            }
            catch
            {

            }
        }
        else
        {
            return null;    
        }
    }
}

對于Forms認證离唬，我們需要在Web.config的<system.web>節(jié)點部分添加以下內(nèi)容：

<authentication mode="Forms" >
    <forms cookieless="UseCookies" 
           name="LoginCookieName" 
           loginUrl="~/Default.aspx"/>
</authentication>

該部分指定了身份驗證模式為Forms，Cookie的使用方式呛凶，Cookie名稱男娄，默認登錄頁面(當未認證或認證失敗時會跳轉(zhuǎn)到默認登錄頁)。

為何要設(shè)置Cookie呢漾稀？

因為Forms的身份認證是通過Cookie來維持的模闲，且該Cookie是加密過的HttpOnly Cookie(無法在瀏覽器端更改的Cookie)

授權(quán)

授權(quán)的問題就是用戶與用戶組權(quán)限的問題，根據(jù)當前登錄用戶及其所屬用戶組的權(quán)限來判斷當前用戶的請求是否能夠訪問目標資源崭捍。

Forms身份認證的授權(quán)也需要在Web.config的<system.web>節(jié)點中配置尸折，示例如下：

<authorization>
    <allow users="admin"/>
    <deny users="*"/>
</authorization>

自定義驗證用戶登錄

一、Filter

ASP.NetMVC模式自帶的過濾器Filter殷蛇，是一種聲明式編程方式实夹，支持四種過濾器類型，分別是：Authorization(授權(quán))粒梦，Action（行為）亮航，Result（結(jié)果）和Exception（異常）。

? 表1

過濾器類型	接口	描述
Authorization	IAuthorizationFilter	此類型（或過濾器）用于限制進入控制器或控制器的某個行為方法
Action	IActionFilter	用于進入行為之前或之后的處理
Result	IResultFilter	用于返回結(jié)果的之前或之后的處理
Exception	IExceptionFilter	用于指定一個行為匀们，這個被指定的行為處理某個行為方法或某個控制器里面拋出的異常

但是默認實現(xiàn)它們的過濾器只有三種缴淋，分別是ActionFilter（方法），Authorize（授權(quán)）泄朴，HandleError（錯誤處理）重抖；各種信息如下表所示：

? 表2

過濾器	類名	實現(xiàn)接口
Authorize	AuthorizeAttribute	IAuthorizationFilter
HandleError	HandleErrorAttribute	IExceptionFilter
自定義	ActionFilterAttribute	IActionFilter和IResultFilter

ASP.NET默認的身份驗證過濾器是[Authorize]對應AuthorizeAttribute類

二、通過自定義過濾器實現(xiàn)登錄驗證

表2中只寫了實現(xiàn)表1中的接口祖灰，實際上ActionFilterAttribute繼承了FilterAttribute钟沛、IActionFilter和IResultFilter.

具體實現(xiàn)方法

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public class AuthenticatedAttribute:FilterAttribute, IActionFilter
{  
    public void OnActionExecuted(ActionExecutedContext filterContext)
    {
            
    }

    public void OnActionExecuting(ActionExecutingContext filterContext)
    {
        //此處AuthenticationMoudel類中的UserName屬性已在認證模塊中定義
        if (string.IsNullOrEmpty(AuthenticationMoudel.UserName))
        {
            filterContext.Result = new HttpUnauthorizedResult();
        }
    }
}

最后在需要登錄驗證的地方打下自定義的Filter的標簽[Authenticated]

[Authenticated]
public class HomeController : Controller  
{  
    public ActionResult Index()  
    {  
        ViewBag.Message = "歡迎使用 ASP.NET MVC!";  
        return View();  
    }  
}

三、使用系統(tǒng)的AuthorizeAttribute驗證登錄

public class AuthenticationAttribute : AuthorizeAttribute
{
  public override void OnAuthorization(AuthorizationContext filterContext)
  {
    //base.OnAuthorization(filterContext);
    //如果控制器沒有加AllowAnonymous特性或者Action沒有加AllowAnonymous特性才檢查
    if (!filterContext.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute),true) && !filterContext.ActionDescriptor.ControllerDescriptor.IsDefined(typeof(AllowAnonymousAttribute),true))
    {
      //此處寫判斷是否登錄的邏輯代碼
      HttpCookie cookie = filterContext.HttpContext.Request.Cookies["Member"];
      if (!(cookie!=null && cookie.Values["name"] == "test" && cookie.Values["pass"] == "123"))       {
        filterContext.Result = new RedirectResult("/Member/Login");
      }
    }
  }
}

若加了Authentication過濾器的控制器中有需要匿名訪問的方法局扶，可以在方法前面添加[AllowAnonymous]過濾器

另一種寫法是繼承FilterAttribute 并實現(xiàn)接口IAuthorizationFilter恨统，方式與系統(tǒng)的AuthorizeAttribute類似

參考文章：1. 細說ASP.NET Forms身份認證

? 2. ASP.Net MVC Filter驗證用戶登錄

菜鳥一枚叁扫，還望大家多多指教

補充：在運行上述代碼時，發(fā)現(xiàn)配置了Forms認證后登錄不成功延欠，匿名用戶訪問需要認證的頁面時不能跳轉(zhuǎn)到登錄頁面陌兑，解決方案如下：
在Web.Config文件的<system.webServer>節(jié)添加下面兩句

<remove name="FormsAuthentication" />
<add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule" />

剛開始我只有第一句<remove name="FormsAuthentication" />沈跨，添加第二句后解決問題由捎。

最后編輯于：2017.12.11 06:07:27

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個濱河市饿凛，隨后出現(xiàn)的幾起案子狞玛，更是在濱河造成了極大的恐慌，老刑警劉巖涧窒，帶你破解...
沈念sama閱讀 221,576評論 6贊 515
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件心肪，死亡現(xiàn)場離奇詭異，居然都是意外死亡纠吴，警方通過查閱死者的電腦和手機硬鞍，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 94,515評論 3贊 399
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進店門，熙熙樓的掌柜王于貴愁眉苦臉地迎上來戴已，“玉大人固该，你說我怎么就攤上這事√抢埽” “怎么了伐坏？”我有些...
開封第一講書人閱讀 168,017評論 0贊 360
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長握联。經(jīng)常有香客問我桦沉，道長，這世上最難降的妖魔是什么金闽？我笑而不...
開封第一講書人閱讀 59,626評論 1贊 296
?港島之戀（遺憾婚禮）
正文為了忘掉前任纯露，我火速辦了婚禮，結(jié)果婚禮上代芜，老公的妹妹穿的比我還像新娘埠褪。我一直安慰自己，他們只是感情好蜒犯，可當我...
茶點故事閱讀 68,625評論 6贊 397
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布组橄。她就那樣靜靜地躺著，像睡著了一般罚随。火紅的嫁衣襯著肌膚如雪玉工。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 52,255評論 1贊 308
城市分裂傳說
那天淘菩，我揣著相機與錄音遵班，去河邊找鬼屠升。笑死，一個胖子當著我的面吹牛狭郑，可吹牛的內(nèi)容都是我干的腹暖。我是一名探鬼主播，決...
沈念sama閱讀 40,825評論 3贊 421
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼翰萨，長吁一口氣：“原來是場噩夢啊……” “哼脏答！你這毒婦竟也來了？” 一聲冷哼從身側(cè)響起亩鬼，我...
開封第一講書人閱讀 39,729評論 0贊 276
萬榮殺人案實錄
序言：老撾萬榮一對情侶失蹤殖告，失蹤者是張志新（化名）和其女友劉穎，沒想到半個月后雳锋，有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體黄绩，經(jīng)...
沈念sama閱讀 46,271評論 1贊 320
?護林員之死
正文獨居荒郊野嶺守林人離奇死亡，尸身上長有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點故事閱讀 38,363評論 3贊 340
?白月光啟示錄
正文我和宋清朗相戀三年玷过，在試婚紗的時候發(fā)現(xiàn)自己被綠了爽丹。大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點故事閱讀 40,498評論 1贊 352
活死人
序言：一個原本活蹦亂跳的男人離奇死亡辛蚊，死狀恐怖粤蝎，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情嚼隘，我是刑警寧澤诽里，帶...
沈念sama閱讀 36,183評論 5贊 350
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站飞蛹，受9級特大地震影響谤狡，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜卧檐，卻給世界環(huán)境...
茶點故事閱讀 41,867評論 3贊 333
男人毒藥：我在死后第九天來索命
文/蒙蒙一墓懂、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧霉囚，春花似錦捕仔、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 32,338評論 0贊 24
一樁弒父案榜跌，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽。三九已至盅粪，卻和暖如春钓葫，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背票顾。一陣腳步聲響...
開封第一講書人閱讀 33,458評論 1贊 272
情欲美人皮
我被黑心中介騙來泰國打工础浮，沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留帆调，地道東北人。一個月前我還...
沈念sama閱讀 48,906評論 3贊 376
代替公主和親
正文我出身青樓豆同，卻偏偏與公主長得像番刊，于是被迫代替她去往敵國和親。傳聞我的和親對象是個殘疾皇子影锈，可洞房花燭夜當晚...
茶點故事閱讀 45,507評論 2贊 359