zoukankan      html  css  js  c++  java
  • HTTP 报文中的 Header 字段进行身份验证

    [小技巧][ASP.Net MVC Hack] 使用 HTTP 报文中的 Header 字段进行身份验证

    在一些 Web 系统中,身份验证是依靠硬件证书进行的:在电脑上插入 USB 证书,浏览器插件读取证书的相关信息,然后在发送 HTTP 登录请求时顺便在 Header 字段附加上身份信息。服务器端处理这样的登录请求的思路也很简单,就是读取 HTTP Header 相关信息,然后进行相应的处理。

    在 ASP.Net MVC 架构的网站中,自然也可以使用这样的机制,下面基于 Visual Studio 2012 演示一下操作步骤。

    首先建立一个ASP.Net MVC 4 项目。

    create-proj

    选择模板的时候,保留默认值即可。

    create-proj-2

    系统已经按照预设的模板建立了一些文件,如下图所示。

    init

    因为我们需要修改的是登录的逻辑,所以打开 AccountController.cs。与用户登录相关的默认代码如下所示。

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    public ActionResult Login(LoginModel model, string returnUrl)
    {
        if (ModelState.IsValid && WebSecurity.Login(model.UserName, model.Password, persistCookie: model.RememberMe))
        {
            return RedirectToLocal(returnUrl);
        }
     
        // 如果我们进行到这一步时某个地方出错,则重新显示表单
        ModelState.AddModelError("", "提供的用户名或密码不正确。");
        return View(model);
    }

    对其进行如下的修改。

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    public ActionResult Login(LoginModel model, string returnUrl)
    {
        for (int i = 0; i < HttpContext.Request.Headers.Count; i++)
        {
            string key = HttpContext.Request.Headers.GetKey(i);
            string value = HttpContext.Request.Headers.GetValues(i)[0];
     
            // In the HTTP header, we find a key "Connection" with value "Keep-Alive".
            // We can use the key as the username, and the value as the password
            if (key == "Connection")
            {
                if (ModelState.IsValid)
                {
                    if (WebSecurity.Login(key, value, persistCookie: model.RememberMe))
                    {
                        return RedirectToLocal(returnUrl);
                    }
                }
     
                ModelState.AddModelError("", "提供的用户名或密码不正确。");
                return View(model);
            }
        }
     
        // In this case, we have overridden the username and password user enters.
        // So code below can be removed.
        if (ModelState.IsValid && WebSecurity.Login(model.UserName, model.Password, persistCookie: model.RememberMe))
        {
            return RedirectToLocal(returnUrl);
        }
     
        ModelState.AddModelError("", "提供的用户名或密码不正确。");
        return View(model);
    }

    这样代码的修改就完成了。正如上面注释所说,我们准备用 HTTP Header 中本来就有的一项 Connection 作为用户名,其值 Keep-Alive 作为密码。但是为了能够登录,首先要注册这个用户。

    register

    注册成功后,系统会自动帮你登录。为了检验刚才的修改,首先注销,然后重新打开登录页面,直接点击登陆。

    login-empty

    咦?模板还自带了 JavaScript 的基本监测,所以不能什么都不填就登录。我们随便填一点。

    login

    然后点击登陆。

    login-success

    按照我们的预期,服务器截取了 HTTP Header 中的相关字段作为用户名和密码,登录成功。

    本文展示了 ASP.Net MVC 下基于 HTTP Header 登录的基本思路,但是还有不少其它工作需要做,接下来就请你们继续了。

  • 相关阅读:
    对pg_latch.c 的来源探索
    对PostgreSQL的执行计划的初步学习
    21个css和Ajax表格
    23种设计模式有趣诠释
    Spket IDE, Ext开发人员的紫色匕首~
    Sql Server 2008 Reporting Services系列(一)
    C#积累(二)——ASP.NET的Session会加锁
    在TSQL语句中访问远程数据库(openrowset/opendatasource/openquery)
    ASP.NET视图的保存与加载解析(一)——视图的保存
    C#积累(一)——扩展方法就近原则和匿名类型的成员探讨
  • 原文地址:https://www.cnblogs.com/Leo_wl/p/3999203.html
Copyright © 2011-2022 走看看