一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token.
一般企业内部的应用,企业内部信息系统,使用Windows Auhentication. 因为企业内部都有自己的域,员工的电脑都有这个域内部的一个ID,而且这个ID是唯一的,所有的操作都会通过这个ID进行。企业内部的信息系统是不需要用户注册的,用的都是这个ID,所以,使用Windows Authentication. 但是需要注意的是,FormAuthentication.SetAuthCookie()往往写入的都是很简单的字段,一般是username, 而真正系统中的User实体是一个很复杂的对象,有很多信息,所以,每次当用户进入这个系统后,程序会根据用户的ID或者username,找到数据库中对应的详细的User对象,然后放到Session中。一般这些操作是在Global.asax.cs中的Session_Start()中进行的。
protected void Session_Start(object sender, EventArgs e) { var securityHelper = new SecurityHelper(); securityHelper.Authenticate(); } public class SecurityHelper { private string GetWindowsVcnUserName() { // Get windows user var loggedUser = System.Web.HttpContext.Current.User.Identity; if (loggedUser != null) { string username = loggedUser.Name; username = username.Substring(username.IndexOf('\') + 1); username = username.ToUpper(); return username; } return null; } public virtual bool Authenticate() { // Inject implementation of the UserService through DI if (UserService == null) { UserService = Container.Resolve<UserService>(); } string userLoggin = GetWindowsVcnUserName(); // Get user from external authorization system var user = UserService.GetUser(userLoggin); if (user == null) { //说明数据库中没有这个用户,此时可以根据需要设定相应的逻辑,可以提示该用户不能访问此系统,也可以为此用户建立一个Guset账号,根据需要而定 } // Set session System.Web.HttpContext.Session.Add("user", user); return true; } }
此后,在该Session生存周期内,需要User信息的时候,只要从Session中拿就可以了,因为Session中有一个详细的User对象