一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token.
一般企业内部的应用,企业内部信息系统,使用Windows Auhentication. 因为企业内部都有自己的域,员工的电脑都有这个域内部的一个ID,而且这个ID是唯一的,所有的操作都会通过这个ID进行。企业内部的信息系统是不需要用户注册的,用的都是这个ID,所以,使用Windows Authentication. 但是需要注意的是,FormAuthentication.SetAuthCookie()往往写入的都是很简单的字段,一般是username, 而真正系统中的User实体是一个很复杂的对象,有很多信息,所以,每次当用户进入这个系统后,程序会根据用户的ID或者username,找到数据库中对应的详细的User对象,然后放到Session中。一般这些操作是在Global.asax.cs中的Session_Start()中进行的。
protected void Session_Start(object sender, EventArgs e)
{
var securityHelper = new SecurityHelper();
securityHelper.Authenticate();
}
public class SecurityHelper
{
private string GetWindowsVcnUserName()
{
// Get windows user
var loggedUser = System.Web.HttpContext.Current.User.Identity;
if (loggedUser != null)
{
string username = loggedUser.Name;
username = username.Substring(username.IndexOf('\') + 1);
username = username.ToUpper();
return username;
}
return null;
}
public virtual bool Authenticate()
{
// Inject implementation of the UserService through DI
if (UserService == null)
{
UserService = Container.Resolve<UserService>();
}
string userLoggin = GetWindowsVcnUserName();
// Get user from external authorization system
var user = UserService.GetUser(userLoggin);
if (user == null)
{
//说明数据库中没有这个用户,此时可以根据需要设定相应的逻辑,可以提示该用户不能访问此系统,也可以为此用户建立一个Guset账号,根据需要而定
}
// Set session
System.Web.HttpContext.Session.Add("user", user);
return true;
}
}
此后,在该Session生存周期内,需要User信息的时候,只要从Session中拿就可以了,因为Session中有一个详细的User对象