Application.BeginRequest
HttpContext可用
|
Application.AuthenticateRequest
填充Identity&Prinicpal对象 //准备验证对象(可以在这里定义自己的role组)
|
Application.AuthorizeRequest
处理自定义的授权需求
|
Application.AcquireRequestState
Session开始可用,[获得]响应状态及转入Page对象处理
这样可以防止Session存储验证信息
导致不安全因素
<authentication>配置验证模式
元素只能在应用程序(虚拟目录)根文件夹下的web.config文件中使用,so每个应用程序只能定义一个身份验证类型.如果必须使用一个不同的身份认证类型则必须将它定义为一个独立的应用程序
<forms>
元素里的name属性用于区别同一个web服务器上不同应用程序的cookie name
<authorization>配置验证授权
是一个批准和拒绝访问特定资源的过程
可以定义于子文件夹中!!!
不必为了使用身份验证而限制对页面的访问,纯粹为了个人化而使用身份验证是完全可能的
所以匿名用户可以看到通过验证的用户的所有可以看到的相同页面,只不过看到的结果不同而已
将错误信息写成
<asp:label id="ErrMessage" visalbe="false">密码或者用户名不正确,请重试</asp:label>
达到表示与业务逻辑的分离
建立身份验证票据的三种方式
1.一行代码完成验证匹配凭据(定义在<credentials>的<user>中),
FormsAuthentication.Authenticate(tbUserName.Text,tbPassword.Text);
FormsAuthentication.RedirectFromLoginPage(tbUserName.Text,false);
第二行创建一个FormsAuthenticationTicket并加密票据,最后写入cookie并重定向到最初的请求页面
false表示不创建持久性的cookie(关闭浏览器后会继续保留)
2.用Request.IsAuthenticated判断是否已经验证
用FormsAuthentication.Authenticate(tbUserName.Text,tbPassword.Text);的结果来验证
FormsAuthentication.SetAuthCookie(tbUserName.Text,false);来获得一个验证票据,并自动写入cookie中
已达到自定义重定向页面的功能
可以使用Response.Redirect(Request.Url.LocalPath);请求本身页面
3.
实现自己的验证
// FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(admin_id,false,20); //生成验证票据
authTicket.UserData可以存储额外的用户信息并一起被加密
// string authStr = FormsAuthentication.Encrypt(authTicket); //加密票据
// HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName,authStr); //生成加密后的cookie
// Page.Response.Cookies.Add(authCookie); //写入验证票据到cookie中
登出都使用简单的FormsAuthentication.SignOut();即可
然后可以使用Response.Redirect(Request.Url.LocalPath);重新加载本身页面确保已经变成匿名用户
可以在((FormsIdentity)User.Identity).Ticket.UserData来访问UserData
UserData不能存过多信息
ie与netscape支持4096个字节
如果超出则无法写入cookie并且不能通过身份验证
可以用生成多个Ticket来生成多个cookie存储信息
FormsAuthentication.AuthCookieName
要是持久性cookie期满(即生成时使用参数true)只能用FormsAuthentication.GetAuthCookie来是指期满时期并手动写入到http响应中
最好的解决方案时基于角色的授权!!!
用Context.User.IsInRole判断
假冒
使用<identity impersonate="true" userName="NixStudio/Administrator" password="procedure" />
来启用假冒来假冒一个windows帐户
Asp.Net安全模型
无论使用何种身份验证,程序利用登陆用户提供的凭据授予用户Principal(当前角色)和Identity(当前用户)
Principal对象利用Identity创建
HttpContext.Current.User返回的即是一个实现了Iprincipal的实例
实现角色授权
默认是使用GenericPricipal来填充Context.User
so
1.向身份验证cookie添加角色
2.利用含有角色的GenericPricipal填充Context.User,并添加用以自定义身份验证过程的事件处理程序
string[] roles = GetUserRoles(userName); //取得用户所属的角色数组
//一个用户可以属于不同的角色
FormsAuthenticationTicket myTicket = new FormsAuthenticationTicket(
1,
tbUserName.Text,
DataTime.Now,
DateTime.Now.AddHour(3),
roleStringArr);
Application_OnAuthentiateRequest事件中可以来将用户的角色添加到HttpContext中
比如
或者也可以在自己验证过用户登陆后
System.Web.Security.GenericPincipal gp = new GenericPrincipal(Context.User.Identity,roles);
Context.User = gp;
然后用User.IsInRole("roleName")判断是否属于某个角色
然后决定相应的显示和功能
防止cookie被盗
可以通过监控用户的IP地址
即将ip信息写入Ticket中,然后验证是否来自同一个ip
FormsAuthenticationTicket ft = new FormsAuthentication(
FormsAuthentication.FormsCookieName,
DateTime.Now,
DateTime.Now.AddHours(2),
false,
Request.UserHostAddress.ToString());
判断Request.UserHostAddress.ToString() ?= (FormsIdentity(User.Identity)).Ticket.UserData即可
如果!=
则使用新的匿名标志填充
GenericIdentity i = new GenericIdentity("","");
string roles[] = {};
Context.User = new GenericPrincipal(i,roles);
也可以触发异常或者记录日志或者更多操作
问题:可能共享代理上网(ip一样)可能动态ip结果导致程序不必要的麻烦,即存储持久cookie会很困难
保存登陆用户列表
可以用Application["CurrentUsers"] = new HashTable();
来存储
用Session.SessionID来作为全局标志
提供多个登陆页面
1.使用单独的登陆页面,但自定义为多个页面
2.使用配置过的登陆页面
使用Response.Redirect在服务端进行重定向不必经过验证程序
因为已经过了那个环节了
或者使用location path="fileName.aspx"来配置对这些页面的允许访问