ASP.NET MVC - установить пользовательский IIdentity или IPrincipal

Question

ASP.NET MVC - установить пользовательский IIdentity или IPrincipal

559

Мне нужно сделать что-то довольно простое: в моем приложении ASP.NET MVC я хочу установить пользовательский параметр IIdentity/IPrincipal. Какое бы ни было удобнее и удобнее. Я хочу расширить значение по умолчанию, чтобы я мог называть что-то вроде User.Identity.Id и User.Identity.Role. Ничего необычного, просто некоторые дополнительные свойства.

Я прочитал множество статей и вопросов, но мне кажется, что я делаю это сложнее, чем на самом деле. Я думал, что это будет легко. Если пользователь входит в систему, я хочу установить пользовательский параметр IIdentity. Поэтому я подумал, что буду реализовывать Application_PostAuthenticateRequest в своем global.asax. Тем не менее, это вызвано каждым запросом, и я не хочу делать вызов в базу данных по каждому запросу, который запрашивал бы все данные из базы данных и помещал бы пользовательский объект IPrincipal. Это также кажется очень ненужным, медленным и не в том месте (там используются вызовы базы данных), но я могу ошибаться. Или откуда еще взялись эти данные?

Поэтому я подумал, что всякий раз, когда пользователь входит в систему, я могу добавить некоторые необходимые переменные в свой сеанс, которые я добавляю к пользовательскому идентификатору Identity в обработчике событий Application_PostAuthenticateRequest. Тем не менее, мой Context.Session здесь null, так что это тоже не путь.

Я работаю над этим в течение дня, и я чувствую, что что-то не хватает. Это не должно быть слишком сложно сделать, правильно? Я также немного смущен всем (полу) связанным с этим материалом. MembershipProvider, MembershipUser, RoleProvider, ProfileProvider, IPrincipal, IIdentity, FormsAuthentication.... Я единственный, кто считает все это очень запутанным?

Если бы кто-то мог сказать мне простое, элегантное и эффективное решение для хранения некоторых дополнительных данных на IIdentity без лишних пухов, это было бы здорово! Я знаю, что есть похожие вопросы по SO, но если мне нужен ответ, я, должно быть, не заметил.

Razzie 30 июнь 2009, в 17:12

Источник

0

как вы интегрировали это с заранее написанным кодом MVC для входа?
Stefanvds 16 фев. 2011, в 15:51
0

Стефан, вам не нужно много рисковать в отношении существующего AccountController. Хитрость заключается в том, чтобы установить cookie в global.asax, и вам нужно только самостоятельно записать некоторые данные в cookie для проверки подлинности с помощью форм после входа в AccountController. Для этого вы можете использовать FormsAuthenticationTicket, который вы можете передавать пользовательские данные.
Razzie 28 фев. 2011, в 09:55
0

Привет, Раззи. У меня есть вопрос: вы извлекаете данные из FormsAuthenticationTicket без БД, и вы можете обновить билет (на самом деле это cookie), когда пользователь обновляет свой профиль, так что все в порядке. Однако, если пользователь изменит свои данные в другом месте, ваши данные (извлеченные из cookie) в предыдущем месте будут недействительными. Как вы справились с этой проблемой?
Domi.Zhang 28 янв. 2012, в 09:35
1

Привет, Domi, это комбинация только хранения данных, которые никогда не меняются (например, идентификатора пользователя), или обновления cookie непосредственно после того, как пользователь изменяет данные, которые должны быть немедленно отражены в cookie. Если пользователь делает это, я просто обновляю cookie новыми данными. Но я стараюсь не хранить данные, которые часто меняются.
Razzie 28 янв. 2012, в 16:26
24

Этот вопрос имеет 36 тысяч просмотров и много голосов. действительно ли это является общим требованием - и если да, то нет ли лучшего способа, чем все эти «нестандартные вещи»?
Simon_Weaver 06 фев. 2013, в 12:29
2

@Simon_Weaver Известно удостоверение ASP.NET, которое легче поддерживает дополнительную пользовательскую информацию в зашифрованном файле cookie.
John 10 апр. 2015, в 11:04
1

Я согласен с вами, есть много информации, как вы опубликовали: MemberShip... , Principal , Identity . ASP.NET должен упростить, упростить и максимально использовать два подхода к аутентификации.
broadband 12 авг. 2016, в 16:15
1

@Simon_Weaver Это ясно показывает, что существует спрос на более простую, более гибкую систему идентификации IMHO.
niico 15 апр. 2017, в 19:08
1

@broadband Я слышу тебя .. они не наполовину усложняют работу для новичков в этом деле
Murphybro2 01 сен. 2017, в 08:25

Показать ещё 7 комментариев

Теги:

asp.net

asp.net-mvc

forms-authentication

iprincipal

iidentity

8 ответов

109

Я не могу говорить напрямую для ASP.NET MVC, но для ASP.NET Web Forms трюк заключается в создании FormsAuthenticationTicket и шифровании его в файл cookie после аутентификации пользователя. Таким образом, вам нужно только один раз вызвать базу данных (или AD или все, что вы используете для выполнения вашей проверки подлинности), и каждый последующий запрос будет аутентифицироваться на основе билета, хранящегося в файле cookie.

Хорошая статья об этом: ~~http://www.ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html~~ (неработающая ссылка)

Edit:

Так как ссылка выше нарушена, я бы порекомендовал решение LukeP в своем ответе выше: https://stackoverflow.com/questions/1064271/asp-net-mvc-set-custom-iidentity-or-iprincipal - Я бы также предположил, что принятый ответ будет изменен на этот один.

Изменить 2: Альтернатива для неработающей ссылки: https://web.archive.org/web/20120422011422/http://ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html

John Rasch 30 июнь 2009, в 16:10

0

Исходя из PHP, я всегда помещал информацию, такую как UserID и другие части, необходимые для предоставления ограниченного доступа в Session. Хранение его на стороне клиента заставляет меня нервничать, можете ли вы прокомментировать, почему это не будет проблемой?
John Zumbrum 24 апр. 2012, в 12:54
0

@JohnZ - сам билет зашифровывается на сервере перед отправкой по проводам, поэтому клиент не будет иметь доступа к данным, хранящимся в билете. Обратите внимание, что идентификаторы сессий также хранятся в cookie-файлах, поэтому они не так уж и отличаются.
John Rasch 24 апр. 2012, в 14:42
0

@JohnZ - Сессия также является cookie-файлом, сохраненным на стороне клиента.
Guillermo Gutiérrez 28 авг. 2012, в 17:29
3

Если вы здесь, вы должны посмотреть на решение LukeP
mynkow 26 апр. 2013, в 07:59
2

Я всегда был обеспокоен возможностью превышения максимального размера cookie ( stackoverflow.com/questions/8706924/… ) при таком подходе. Я склонен использовать Cache в качестве замены Session для хранения данных на сервере. Может кто-нибудь сказать мне, если это ошибочный подход?
Red Taz 08 май 2013, в 15:14
2

Хороший подход. Одна потенциальная проблема, связанная с этим, заключается в том, что если ваш пользовательский объект имеет более чем несколько свойств (и особенно, если есть какие-либо вложенные объекты), создание файла cookie завершится неудачно, как только зашифрованное значение превысит 4 КБ (гораздо проще получить доступ, чем вы думаете). Если вы храните только ключевые данные, это нормально, но тогда вам все равно придется нажимать на БД. Еще одним соображением является «обновление» данных cookie, когда пользовательский объект имеет сигнатуру или логические изменения.
Geoffrey Hudik 05 июнь 2013, в 01:36
0

Джо Стэгнер (Joe Stagner) рассматривает вопрос «cookie против кэша» в своем превосходном видео « Использование пользовательских основных объектов» . Примеры приведены в Web Forms, но это были лучшие 20 минут, которые я потратил, работая над FormsAuthentication.
zacharydl 08 авг. 2013, в 03:09
0

@qJake Я обновил пост с рабочей ссылкой
Reuel Ribeiro 10 июнь 2016, в 16:13

Показать ещё 6 комментариев

60

Вот пример, чтобы выполнить работу. bool isValid устанавливается путем просмотра некоторого хранилища данных (скажем, вашей базы данных пользователя). UserID - это всего лишь идентификатор, который я поддерживаю. Вы можете добавить дополнительную информацию, такую как адрес электронной почты, к пользовательским данным.

protected void btnLogin_Click(object sender, EventArgs e)
{         
    //Hard Coded for the moment
    bool isValid=true;
    if (isValid) 
    {
         string userData = String.Empty;
         userData = userData + "UserID=" + userID;
         FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, username, DateTime.Now, DateTime.Now.AddMinutes(30), true, userData);
         string encTicket = FormsAuthentication.Encrypt(ticket);
         HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
         Response.Cookies.Add(faCookie);
         //And send the user where they were heading
         string redirectUrl = FormsAuthentication.GetRedirectUrl(username, false);
         Response.Redirect(redirectUrl);
     }
}

в golbal asax добавьте следующий код для извлечения вашей информации

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[
             FormsAuthentication.FormsCookieName];
    if(authCookie != null)
    {
        //Extract the forms authentication cookie
        FormsAuthenticationTicket authTicket = 
               FormsAuthentication.Decrypt(authCookie.Value);
        // Create an Identity object
        //CustomIdentity implements System.Web.Security.IIdentity
        CustomIdentity id = GetUserIdentity(authTicket.Name);
        //CustomPrincipal implements System.Web.Security.IPrincipal
        CustomPrincipal newUser = new CustomPrincipal();
        Context.User = newUser;
    }
}

Когда вы собираетесь использовать информацию позже, вы можете получить доступ к своему пользовательскому принципу следующим образом.

(CustomPrincipal)this.User
or 
(CustomPrincipal)this.Context.User

это позволит вам получить доступ к пользовательской пользовательской информации.

Sriwantha Attanayake 20 нояб. 2009, в 12:01

2

К вашему сведению - это Request.Cookies [] (множественное число)
Dan Esparza 20 май 2010, в 04:27
10

Не забудьте установить Thread.CurrentPrincipal, а также Context.User в CustomPrincipal.
Russ Cam 31 май 2010, в 09:07
6

Откуда берется GetUserIdentity ()?
Ryan 12 март 2011, в 07:03
0

Как я уже упоминал в комментарии, он дает реализацию System.Web.Security.IIdentity. Google об этом интерфейсе
Sriwantha Attanayake 29 янв. 2012, в 15:05

Показать ещё 2 комментария

15

MVC предоставляет вам метод OnAuthorize, зависающий от ваших классов контроллера. Или вы можете использовать настраиваемый фильтр действий для выполнения авторизации. MVC делает это довольно легко. Я разместил сообщение в блоге об этом здесь. http://www.bradygaster.com/post/custom-authentication-with-mvc-3.0

brady gaster 23 июнь 2011, в 13:58

0

Но сессия может быть потеряна, и пользователь все равно аутентифицируется. Нет?
Dragouf 18 авг. 2011, в 12:46
0

@brady gaster, я прочитал ваше сообщение в блоге (спасибо!), зачем кому-то использовать переопределение «OnAuthorize ()», как упомянуто в вашем сообщении, над записью global.asax «... AuthenticateRequest (..)», упомянутой другим ответы? Является ли одно предпочтение перед другим при настройке основного пользователя?
RayLoveless 11 апр. 2016, в 18:01

9

Вот решение, если вам нужно подключить некоторые методы к @User для использования в ваших представлениях. Никакого решения для какой-либо серьезной настройки членства, но если исходный вопрос был необходим только для просмотров, этого, возможно, было бы достаточно. Ниже было использовано для проверки переменной, возвращаемой с authorizefilter, используемой для проверки наличия или отсутствия каких-либо ссылок (не для какой-либо логики авторизации или предоставления доступа).

using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Web;
    using System.Security.Principal;

    namespace SomeSite.Web.Helpers
    {
        public static class UserHelpers
        {
            public static bool IsEditor(this IPrincipal user)
            {
                return null; //Do some stuff
            }
        }
    }

Затем просто добавьте ссылку в области web.config и вызовите ее, как показано ниже в представлении.

@User.IsEditor()

Baserz 09 март 2013, в 23:30

0

В вашем решении нам снова нужно делать вызовы базы данных каждый раз. Потому что пользовательский объект не имеет пользовательских свойств. Он имеет только имя и IsAuthanticated
oneNiceFriend 05 июнь 2016, в 08:36
0

Это полностью зависит от вашей реализации и желаемого поведения. Мой образец содержит 0 строк базы данных, или роль, логику. Я полагаю, что если кто-то использует IsInRole, он может быть кэширован в cookie. Или вы реализуете свою собственную логику кеширования.
Base 05 июнь 2016, в 14:03

3

На основе ответа LukeP и добавьте некоторые методы настройки timeout и requireSSL, сотрудничающие с Web.config.

Ссылки ссылок

Измененные коды LukeP

1, установите timeout на основе Web.config. FormsAuthentication.Timeout получит значение тайм-аута, которое определено в web.config. Я завернул следующие функции, которые возвращают a ticket назад.

int version = 1;
DateTime now = DateTime.Now;

// respect to the `timeout` in Web.config.
TimeSpan timeout = FormsAuthentication.Timeout;
DateTime expire = now.Add(timeout);
bool isPersist = false;

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
     version,          
     name,
     now,
     expire,
     isPersist,
     userData);

2, настройте файл cookie для обеспечения безопасности или нет, в зависимости от конфигурации requireSSL.

HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
// respect to `RequreSSL` in `Web.Config`
bool bSSL = FormsAuthentication.RequireSSL;
faCookie.Secure = bSSL;

AechoLiu 23 апр. 2013, в 10:52

2

Хорошо, поэтому я серьезный криптозащитник, перетащив этот очень старый вопрос, но есть гораздо более простой подход к этому, о котором говорил @Baserz выше. И это должно использовать комбинацию методов расширения С# и кеширования (НЕ использовать сеанс).

Фактически Microsoft уже предоставила ряд таких расширений в пространстве имен Microsoft.AspNet.Identity.IdentityExtensions. Например, GetUserId() - это метод расширения, который возвращает идентификатор пользователя. Существует также GetUserName() и FindFirstValue(), который возвращает утверждения на основе IPrincipal.

Итак, вам нужно включить только пространство имен, а затем вызвать User.Identity.GetUserName(), чтобы получить имя пользователя, настроенное с помощью идентификатора ASP.NET.

Я не уверен, что это кэшировано, поскольку более старая идентификация ASP.NET не открыта, и я не потрудился ее перестроить. Однако, если это не так, вы можете написать свой собственный метод расширения, который будет кэшировать этот результат за определенный промежуток времени.

Erik Funkenbusch 31 май 2017, в 21:42

0

Почему "не использовать сессию"?
Alex 08 июнь 2017, в 19:31
0

@jitbit - потому что сессия ненадежна и небезопасна. По той же причине вы никогда не должны использовать сессию в целях безопасности.
Erik Funkenbusch 08 июнь 2017, в 19:42
0

«Ненадежность» может быть устранена путем повторного заполнения сеанса (если он пуст). «Небезопасный» - есть способы защиты от перехвата сеанса (используя только HTTPS + другие способы). Но я на самом деле согласен с вами. Где бы вы кешировали это тогда? Информация, такая как IsUserAdministrator или UserEmail и т. Д.? Ты думаешь HttpRuntime.Cache ?
Alex 08 июнь 2017, в 19:58
0

@jitbit - это один из вариантов или другое решение для кэширования, если оно у вас есть. Убедитесь, что истек срок действия записи в кеше. Небезопасный также относится к локальной системе, так как вы можете вручную изменить cookie и угадать идентификаторы сессии. Человек посередине - не единственная забота.
Erik Funkenbusch 08 июнь 2017, в 20:11

Показать ещё 2 комментария

2

В качестве дополнения к LukeP-коду для пользователей веб-форм (а не MVC), если вы хотите упростить доступ в коде позади ваших страниц, просто добавьте код ниже на базовую страницу и выведите базовую страницу на всех ваших страницах

Public Overridable Shadows ReadOnly Property User() As CustomPrincipal
    Get
        Return DirectCast(MyBase.User, CustomPrincipal)
    End Get
End Property

Итак, в вашем коде позади вы можете просто получить доступ:

User.FirstName or User.LastName

То, что мне не хватает в сценарии веб-формы, заключается в том, как получить такое же поведение в коде, который не привязан к странице, например, в httpmodules, если я всегда добавляю приведение в каждом классе или есть ли более разумный способ получить это?

Спасибо за ваши ответы и поблагодарить LukeP, так как я использовал ваши примеры в качестве базы для своего пользовательского пользователя (теперь у которого есть User.Roles, User.Tasks, User.HasPath(int), User.Settings.Timeout и многие другие приятные вещи)

Manight 24 дек. 2012, в 20:28

Ещё вопросы

как вы интегрировали это с заранее написанным кодом MVC для входа?
Стефан, вам не нужно много рисковать в отношении существующего AccountController. Хитрость заключается в том, чтобы установить cookie в global.asax, и вам нужно только самостоятельно записать некоторые данные в cookie для проверки подлинности с помощью форм после входа в AccountController. Для этого вы можете использовать FormsAuthenticationTicket, который вы можете передавать пользовательские данные.
Привет, Раззи. У меня есть вопрос: вы извлекаете данные из FormsAuthenticationTicket без БД, и вы можете обновить билет (на самом деле это cookie), когда пользователь обновляет свой профиль, так что все в порядке. Однако, если пользователь изменит свои данные в другом месте, ваши данные (извлеченные из cookie) в предыдущем месте будут недействительными. Как вы справились с этой проблемой?
Привет, Domi, это комбинация только хранения данных, которые никогда не меняются (например, идентификатора пользователя), или обновления cookie непосредственно после того, как пользователь изменяет данные, которые должны быть немедленно отражены в cookie. Если пользователь делает это, я просто обновляю cookie новыми данными. Но я стараюсь не хранить данные, которые часто меняются.
Этот вопрос имеет 36 тысяч просмотров и много голосов. действительно ли это является общим требованием - и если да, то нет ли лучшего способа, чем все эти «нестандартные вещи»?
@Simon_Weaver Известно удостоверение ASP.NET, которое легче поддерживает дополнительную пользовательскую информацию в зашифрованном файле cookie.
Я согласен с вами, есть много информации, как вы опубликовали: MemberShip... , Principal , Identity . ASP.NET должен упростить, упростить и максимально использовать два подхода к аутентификации.
@Simon_Weaver Это ясно показывает, что существует спрос на более простую, более гибкую систему идентификации IMHO.
@broadband Я слышу тебя .. они не наполовину усложняют работу для новичков в этом деле
Исходя из PHP, я всегда помещал информацию, такую как UserID и другие части, необходимые для предоставления ограниченного доступа в Session. Хранение его на стороне клиента заставляет меня нервничать, можете ли вы прокомментировать, почему это не будет проблемой?
@JohnZ - сам билет зашифровывается на сервере перед отправкой по проводам, поэтому клиент не будет иметь доступа к данным, хранящимся в билете. Обратите внимание, что идентификаторы сессий также хранятся в cookie-файлах, поэтому они не так уж и отличаются.
@JohnZ - Сессия также является cookie-файлом, сохраненным на стороне клиента.
Если вы здесь, вы должны посмотреть на решение LukeP
Я всегда был обеспокоен возможностью превышения максимального размера cookie ( stackoverflow.com/questions/8706924/… ) при таком подходе. Я склонен использовать Cache в качестве замены Session для хранения данных на сервере. Может кто-нибудь сказать мне, если это ошибочный подход?
Хороший подход. Одна потенциальная проблема, связанная с этим, заключается в том, что если ваш пользовательский объект имеет более чем несколько свойств (и особенно, если есть какие-либо вложенные объекты), создание файла cookie завершится неудачно, как только зашифрованное значение превысит 4 КБ (гораздо проще получить доступ, чем вы думаете). Если вы храните только ключевые данные, это нормально, но тогда вам все равно придется нажимать на БД. Еще одним соображением является «обновление» данных cookie, когда пользовательский объект имеет сигнатуру или логические изменения.
Джо Стэгнер (Joe Stagner) рассматривает вопрос «cookie против кэша» в своем превосходном видео « Использование пользовательских основных объектов» . Примеры приведены в Web Forms, но это были лучшие 20 минут, которые я потратил, работая над FormsAuthentication.
@qJake Я обновил пост с рабочей ссылкой
К вашему сведению - это Request.Cookies [] (множественное число)
Не забудьте установить Thread.CurrentPrincipal, а также Context.User в CustomPrincipal.
Как я уже упоминал в комментарии, он дает реализацию System.Web.Security.IIdentity. Google об этом интерфейсе
Но сессия может быть потеряна, и пользователь все равно аутентифицируется. Нет?
@brady gaster, я прочитал ваше сообщение в блоге (спасибо!), зачем кому-то использовать переопределение «OnAuthorize ()», как упомянуто в вашем сообщении, над записью global.asax «... AuthenticateRequest (..)», упомянутой другим ответы? Является ли одно предпочтение перед другим при настройке основного пользователя?
В вашем решении нам снова нужно делать вызовы базы данных каждый раз. Потому что пользовательский объект не имеет пользовательских свойств. Он имеет только имя и IsAuthanticated
Это полностью зависит от вашей реализации и желаемого поведения. Мой образец содержит 0 строк базы данных, или роль, логику. Я полагаю, что если кто-то использует IsInRole, он может быть кэширован в cookie. Или вы реализуете свою собственную логику кеширования.
@jitbit - потому что сессия ненадежна и небезопасна. По той же причине вы никогда не должны использовать сессию в целях безопасности.
«Ненадежность» может быть устранена путем повторного заполнения сеанса (если он пуст). «Небезопасный» - есть способы защиты от перехвата сеанса (используя только HTTPS + другие способы). Но я на самом деле согласен с вами. Где бы вы кешировали это тогда? Информация, такая как IsUserAdministrator или UserEmail и т. Д.? Ты думаешь HttpRuntime.Cache ?
@jitbit - это один из вариантов или другое решение для кэширования, если оно у вас есть. Убедитесь, что истек срок действия записи в кеше. Небезопасный также относится к локальной системе, так как вы можете вручную изменить cookie и угадать идентификаторы сессии. Человек посередине - не единственная забота.

LukeP · Accepted Answer · 2012-05-09T22-11-00.000Z

790

Лучший ответ

Вот как я это делаю.

Я решил использовать IPrincipal вместо IIdentity, потому что это означает, что мне не нужно реализовывать как IIdentity, так и IPrincipal.

Создайте интерфейс

interface ICustomPrincipal : IPrincipal
{
    int Id { get; set; }
    string FirstName { get; set; }
    string LastName { get; set; }
}

CustomPrincipal

public class CustomPrincipal : ICustomPrincipal
{
    public IIdentity Identity { get; private set; }
    public bool IsInRole(string role) { return false; }

    public CustomPrincipal(string email)
    {
        this.Identity = new GenericIdentity(email);
    }

    public int Id { get; set; }
    public string FirstName { get; set; }
    public string LastName { get; set; }
}

CustomPrincipalSerializeModel - для сериализации пользовательской информации в поле userdata в объекте FormsAuthenticationTicket.
```
public class CustomPrincipalSerializeModel
{
    public int Id { get; set; }
    public string FirstName { get; set; }
    public string LastName { get; set; }
}
```

Метод входа в систему - настройка cookie с настраиваемой информацией

if (Membership.ValidateUser(viewModel.Email, viewModel.Password))
{
    var user = userRepository.Users.Where(u => u.Email == viewModel.Email).First();

    CustomPrincipalSerializeModel serializeModel = new CustomPrincipalSerializeModel();
    serializeModel.Id = user.Id;
    serializeModel.FirstName = user.FirstName;
    serializeModel.LastName = user.LastName;

    JavaScriptSerializer serializer = new JavaScriptSerializer();

    string userData = serializer.Serialize(serializeModel);

    FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
             1,
             viewModel.Email,
             DateTime.Now,
             DateTime.Now.AddMinutes(15),
             false,
             userData);

    string encTicket = FormsAuthentication.Encrypt(authTicket);
    HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
    Response.Cookies.Add(faCookie);

    return RedirectToAction("Index", "Home");
}

Global.asax.cs - Чтение cookie и замена объекта HttpContext.User, это делается путем переопределения PostAuthenticateRequest

protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

    if (authCookie != null)
    {
        FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

        JavaScriptSerializer serializer = new JavaScriptSerializer();

        CustomPrincipalSerializeModel serializeModel = serializer.Deserialize<CustomPrincipalSerializeModel>(authTicket.UserData);

        CustomPrincipal newUser = new CustomPrincipal(authTicket.Name);
        newUser.Id = serializeModel.Id;
        newUser.FirstName = serializeModel.FirstName;
        newUser.LastName = serializeModel.LastName;

        HttpContext.Current.User = newUser;
    }
}

Доступ в представлениях Razor

@((User as CustomPrincipal).Id)
@((User as CustomPrincipal).FirstName)
@((User as CustomPrincipal).LastName)

и в коде:

    (User as CustomPrincipal).Id
    (User as CustomPrincipal).FirstName
    (User as CustomPrincipal).LastName

Я думаю, что код не требует пояснений. Если это не так, дайте мне знать.

Кроме того, чтобы сделать доступ еще проще, вы можете создать базовый контроллер и переопределить возвращаемый объект User (HttpContext.User):

public class BaseController : Controller
{
    protected virtual new CustomPrincipal User
    {
        get { return HttpContext.User as CustomPrincipal; }
    }
}

а затем для каждого контроллера:

public class AccountController : BaseController
{
    // ...
}

который позволит вам получить доступ к настраиваемым полям в коде следующим образом:

User.Id
User.FirstName
User.LastName

Но это не будет работать внутри представлений. Для этого вам потребуется создать пользовательскую реализацию WebViewPage:

public abstract class BaseViewPage : WebViewPage
{
    public virtual new CustomPrincipal User
    {
        get { return base.User as CustomPrincipal; }
    }
}

public abstract class BaseViewPage<TModel> : WebViewPage<TModel>
{
    public virtual new CustomPrincipal User
    {
        get { return base.User as CustomPrincipal; }
    }
}

Сделайте это типом страницы по умолчанию в Views/web.config:

<pages pageBaseType="Your.Namespace.BaseViewPage">
  <namespaces>
    <add namespace="System.Web.Mvc" />
    <add namespace="System.Web.Mvc.Ajax" />
    <add namespace="System.Web.Mvc.Html" />
    <add namespace="System.Web.Routing" />
  </namespaces>
</pages>

и в представлении вы можете получить доступ к нему следующим образом:

@User.FirstName
@User.LastName

LukeP 09 май 2012, в 22:11

8

Хорошая реализация; следите за тем, чтобы RoleManagerModule заменил ваш пользовательский принципал на RolePrincipal. Это доставило мне много боли - stackoverflow.com/questions/10742259/…
David Keaveny 26 июнь 2012, в 07:29
0

Прекрасно, у меня только один вопрос: может ли сохранение идентификатора пользователя в билете авторизации форм, как вы только что описали, вызвать какие-либо проблемы с безопасностью? Возможно ли, что пользователь может подделать эти данные?
Adam Vigh 03 окт. 2012, в 11:55
1

@AdamVigh Смотрите здесь: support.microsoft.com/kb/910443 (Какова роль заявки в проверке подлинности с помощью форм?) И здесь: stackoverflow.com/questions/8635965/… - так что похоже, что подделка с заявкой не будет расшифровывать, если только это не описано во второй ссылке (вы заменяете шестнадцатеричный 0 на буквы GZ, которые в любом случае будут конвертированы в 0, сохраняя тикет без изменений).
LukeP 03 окт. 2012, в 17:54
1

Как бы вы управляли анонимным пользователем? Код в Application_PostAuthenticateRequest не запустится, и приведение as повсюду будет возвращать ноль. Обычно свойство User никогда не равно NULL.
Pierre-Alain Vigeant 20 нояб. 2012, в 21:47
9

Хорошо, я нашел решение, просто добавьте еще параметр, который передает "" (пустая строка) в качестве электронного письма, и Идентификация будет анонимной.
Pierre-Alain Vigeant 20 нояб. 2012, в 22:27
3

DateTime.Now.AddMinutes (N) ... как сделать так, чтобы он не выходил из системы через N минут, может ли вошедший в систему пользователь сохраниться (например, когда пользователь выберет «Запомнить меня»)?
1110 25 дек. 2012, в 13:00
0

@ LukeP: идеальное решение! и даже интегрирован с MVC! Просто создайте вопрос, в какой каталог / проект вы обычно помещаете файлы ICustomPrincipal / CustomPrincipal?
Gabriel 10 янв. 2013, в 11:04
0

@Gabriel Я поместил весь код участника в основной проект. Я обычно создаю папку Членства / пространство имен, ссылаясь на нее, где это необходимо.
LukeP 10 янв. 2013, в 16:13
2

Разве это не немного небезопасно, если у нашего участника есть конфиденциальные данные, такие как роли или разрешения?
Rui Lima 21 март 2013, в 18:59
0

Это отличный ответ. У меня одна проблема, хотя. Мой сеанс / cookie не сохраняется между сеансами браузера. Кто-нибудь еще имел эту проблему или знает решение?
Ben Cameron 10 апр. 2013, в 21:22
0

Вы пытались сделать ваш объект FormsAuthenticationTicket постоянным (изменив значение false на true)?
LukeP 11 апр. 2013, в 09:02
0

@LukeP - нужно ли для Thread.CurrentPrincipal также указывать newUser в PostAuthenticationRequest ? (См. Комментарий Rus Cam в ответе Шриванты Аттанаяке.)
mg1075 12 май 2013, в 00:29
0

что такое класс репозитория пользователя в этой строке? var user = userRepository.Users.Where (u => u.Email == viewModel.Email) .First ();
hakan 16 июнь 2013, в 23:11
1

@piedpiper Это то, что вы используете, чтобы получить пользовательский объект из слоя данных. Здесь вы можете получить информацию о пользователе, такую как имя и фамилия.
LukeP 17 июнь 2013, в 00:27
0

К вашему сведению - если у кого-то все еще возникают проблемы с аннулированием основной части для анонимных пользователей, этот вопрос решил проблему для меня - stackoverflow.com/questions/11476301/…
ryanulit 27 июнь 2013, в 19:10
0

вместо того, чтобы вручную использовать преобразование as несколько раз, вы можете использовать метод расширения: public static <yourType> ToCustom(this IPrincipal principal) { return principal as <yourType>; } @User.ToCustom().someProperty
TugboatCaptain 15 июль 2013, в 18:35
4

Если вы используете WebApiController, вам нужно установить Thread.CurrentPrincipal в Application_PostAuthenticateRequest чтобы он работал, так как он не полагается на HttpContext.Current.User
Jonathan Levison 16 июль 2013, в 19:50
1

Для файла cookie FormsAuthentication атрибут HttpOnly должен иметь значение true, чтобы JavaScript не мог получить доступ к вашему файлу аутентификации. Я также должен был поставить PostAuthenticateRequest wireup события в public override void Init() в противном случае я получил NullReferenceException из рамок. Но ответ был отличным, кроме этого :)
Mike Wade 26 июль 2013, в 13:57
0

Кто-нибудь разобрался, как добиться выхода с этим? Выход из системы, кажется, сломался.
Abhinav Gujjar 29 янв. 2014, в 19:01
3

@AbhinavGujjar FormsAuthentication.SignOut(); прекрасно работает для меня
LukeP 29 янв. 2014, в 21:30
0

Любые предложения о том, как это сделать с OWIN?
BlackICE 04 фев. 2014, в 21:18
1

@ Blackice В настоящее время я пишу приложение, которое использует OWIN, и теперь я делаю это немного по-другому. Мне нужно хранить намного больше информации, чем я готов, в файле cookie, поэтому я просто сохраняю адрес электронной почты в заявке и создаю рабочий контекст с полным пользовательским объектом, извлеченным из кэша или базы данных, если он еще не находится в кэше. Задайте вопрос и свяжите его здесь, и я сделаю все возможное, чтобы помочь.
LukeP 04 фев. 2014, в 21:28
0

@LukeP Сейчас я читаю OWIN, чтобы освоить его, я не думаю, что печенье - это лучшее место для того, что я храню, так как оно может быть существенным. Кэш лучше чем сессия для этого?
BlackICE 07 фев. 2014, в 15:08
0

@ BlackICE Я не думаю, что один лучше, чем другой. Они разные. Мне нравится использовать кеш, потому что я уже реализовал хорошую оболочку для всех своих потребностей в кеше. Также см .: stackoverflow.com/questions/428634/…
LukeP 08 фев. 2014, в 17:38
0

@LukeP Вот мой вопрос: stackoverflow.com/questions/21679836/…
BlackICE 10 фев. 2014, в 14:39
0

@ Blackice я отвечу, когда вернусь домой с работы. Как я уже говорил, сейчас я делаю это по-другому, так что вам это может понравиться или не понравиться, но это позволит вам делать то, что вы хотите.
LukeP 10 фев. 2014, в 15:33
0

Отличный ответ! Если по какой-либо причине вы захотите сериализовать DateTime, то я бы предложил не использовать JavaScriptSerializer. Он преобразует дату в такой формат: / Date (352162800000) /, и когда при десериализации у меня была дата на день раньше ... (возможно, сбой часового пояса?), Я бы порекомендовал Json.NET от NewtonSoft ( james.newtonking). com / json ), чтобы сделать сериализацию.
Mark Homans 20 фев. 2014, в 15:02
1

Не могли бы вы добавить еще немного и прояснить ситуацию, объяснив добавление ролей к этому методу и используя его в контроллере "Users =" Admin "?
Sakthivel 26 июнь 2014, в 11:29
0

Я всегда получаю ноль из Request.Cookies [FormsAuthentication.FormsCookieName], это странно.
Timeless 26 июль 2014, в 23:03
0

@Timeless Попробуйте использовать Fiddler и проверить, правильно ли настроен файл cookie при входе в систему.
LukeP 27 июль 2014, в 12:08
0

@ LukeP Есть ли какие-либо ограничения на длину (размер) пользовательских данных?
Timeless 28 июль 2014, в 05:02
0

@Timeless Существуют ограничения на размер куки. Смотрите здесь: stackoverflow.com/questions/5381526/…
LukeP 28 июль 2014, в 17:29
0

По крайней мере, в MVC 5 вам нужно сделать Context.User = newUser; вместо HttpContext.Current.User = newuser .
Pharylon 17 сен. 2014, в 18:27
1

@LukeP Я не могу использовать в представлении, как @User.FirstName как вы упомянули. Я точно следил за вашим постом. Нужно ли что-то устанавливать? @((User as CustomPrincipal).FirstName) работает
Rajshekar Reddy 10 март 2015, в 15:37
0

@LukeP тот же вопрос, что и у Редди. Я не могу использовать вид "@ User.FirstName", как вы упомянули. Я точно следил за вашим постом. Нужно ли что-то устанавливать? '@ ((Пользователь как CustomPrincipal) .irstName)' работает
Chad Richardson 10 март 2015, в 23:51
0

@Reddy and Chad Richardson: Вы реализовали BaseViewPage и сделали его по умолчанию в Views / web.config? Кроме того, какую версию MVC вы используете?
LukeP 23 март 2015, в 17:29
0

@LukeP извините, мне пришлось установить <pages pageBaseType="Your.Namespace.BaseViewPage"> в webConfig папки views, но я сделал это в главном wenConfig. Мой плохой, я не заметил этого. Все работает нормально. Спасибо брат
Rajshekar Reddy 24 март 2015, в 11:24
1

@ LukeP как Roles вписываются в вышесказанное? Когда я помещаю это [Authorize(Roles = "Admin")] на моем контроллере, он продолжает отказывать, даже если мой пользователь находится в Role Admin (я проверил Db)
J86 02 апр. 2015, в 11:24
0

@Ciwan проверьте принципал, чтобы убедиться, что он загружается. Я не могу говорить о том, что вы используете, но мы используем ClaimsPrincipal. Пока тип и значение установлены правильно, оно должно работать. В некоторых случаях вам может потребоваться настраиваемый атрибут авторизации в зависимости от того, как вы реализовали идентификацию.
Sinaesthetic 28 апр. 2015, в 00:37
0

@ LukeP - это, вероятно, нуждается в вопросе, который сам по себе, но как мне использовать мою собственную аутентификацию по паролю? У меня есть приложение ASP.NET, которое я портирую на MVC5. Кажется, проще всего, если я смогу продолжать использовать свою существующую таблицу пользователей с зашифрованными паролями. Hash hash = new Hash("SHA256"); if(u.Password == hash.Encrypt(EnteredTyped)) А не нужно ли все переключать на членство? Или как расширить членство с помощью пользовательской аутентификации, которая позволит мне указывать на мою существующую таблицу пользователей?
Ryan Veteze 08 май 2015, в 21:36
0

спасибо за решение, после использования этого; Как я могу использовать аутентификацию для конкретного контроллера?
Ehsan 02 июль 2015, в 22:21
0

@ LukeP Я реализую Custom IPrinciple, как вы упомянули выше, но я всегда получаю authCookie = null , я что-то authCookie = null ?
gaurav bhavsar 22 сен. 2015, в 09:00
1

Есть ли новый / улучшенный способ реализации для MVC5?
fiberOptics 09 дек. 2015, в 13:29
0

Как управлять анонимным пользователем else { HttpContext.Current.User = new CustomPrincipal(""); } after if (authCookie != null) { //.. } К сожалению, я понятия не имею, безопасно ли это.
Pcodea Xonos 10 фев. 2016, в 09:37
0

@LukeP, Ваш метод входа в систему шага 4 не содержит returnUrl, без использования атрибута [Authorize], как получить URL-адрес возврата.
shamim 18 май 2016, в 13:07
0

Я давно занимаюсь разработкой на C # / .NET, но недавно попал в сеть. До сегодняшнего дня я не занимался аутентификацией / авторизацией и начал с того, что сказал, что не хочу просто использовать встроенные средства Microsoft. Ваш ответ + отладка помогли мне понять модель аутентификации для ASP.NET. Спасибо!
Joakim Hansson 19 май 2016, в 16:52
0

Я реализовал это, и он отлично работает на моем местном IIS. Когда я размещаю его на сервере среднего доверия, срок моей аутентификации истекает менее чем через 1 минуту. Есть ли что-то, что я могу сделать?
Felipe Oriani 06 окт. 2016, в 00:47
0

@ LukeP это отличное решение. Единственный недостаток - он работает только с FormsAuth. Мне нужно иметь возможность использовать как формы, так и проверку подлинности Windows. ( WindowsPricncipal один). Продолжу копать.
Alex 08 июнь 2017, в 18:52
0

Почему IsInRole всегда возвращает false в вашем IPrincipal?
Mike 30 июль 2018, в 19:41
0

@Mike, потому что это всего лишь пример, а не полная реализация. За рамками вопроса.
LukeP 31 июль 2018, в 14:45
0

Если бы я использовал код как есть, я бы никогда не прошел страницу авторизации на Авторизованную страницу. IsInRole будет вызываться return false и предпринимать действия для повторного входа пользователя в систему. в своем примере кода вы, вероятно, должны вернуть true и добавить комментарий, чтобы показать, что в этой области требуется больше работы для обеспечения правильной аутентификации.
Mike 31 июль 2018, в 17:23

Показать ещё 49 комментариев