玩一玩基于Token的 自定义身份认证+权限管理

使用基于 Token 的身份验证方法，在服务端不需要存储用户的登录记录。大概的流程是这样的：

1. 客户端使用用户名跟密码请求登录
2. 服务端收到请求，去验证用户名与密码
3. 验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端
4. 客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里
5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6. 服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据

一,用户点击登录时 对用户名密码进行检查。 当状态为Success   进而通过用户名密码去生成一个身份验证的令牌

从而对令牌进行加密 生成Token  然后放入Cookie里

        public ActionResult Login(LoginViewModel model, string returnUrl)
        {
            if (!ModelState.IsValid)
            {
                return View(model);
            }

            LoginManager loginManager = new LoginManager();
            var result = loginManager.SignIn(model.Email, model.Password);
            if (result == LoginState.Success)
            {
                var role = loginManager.GetUserRoleByEmailAsync(model.Email);

                //通过用户名(邮箱) 密码生成一个ticket令牌
                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, model.Email, DateTime.Now,
                    DateTime.Now.AddMinutes(30), true, string.Format("{0}&{1}", model.Email, model.Password));
                
                //加密
                var Token = FormsAuthentication.Encrypt(ticket);

                System.Web.HttpContext.Current.Session["UserName"]=model.Email;
                System.Web.HttpContext.Current.Session["Role"] = role;

                //将Token加入到cookie  并设置为5天过期
                var cookie = new HttpCookie("Token", Token)
                {
                    Expires = DateTime.Now.AddDays(5)
                };
                Response.Cookies.Add(cookie);

                if (returnUrl != null)
                {
                    return Redirect(returnUrl);
                }
                return Redirect("/Home/Chat");
            }

            return View();
}

二，继承并重写 AuthorizeAttribute 中的 OnAuthorization  

这里 我建了个XML文件用来存放action的角色权限  

用来对方法访问的控制。  这里会解析token 然后进行匹配

<?xml version="1.0" encoding="utf-8" ?>
<Roles>
  <Controller name="Home">
    <Action name="Index"></Action>
    <Action name="Chat">Admin,VIP5,VIP4</Action>
  </Controller>
    <Controller name="Account">
    <Action name="Index"></Action>
    <Action name="GETint">Admin,VIP5,VIP4</Action>
  </Controller>
</Roles>

   public class MVCAuthorize : AuthorizeAttribute
    {
        public new string Roles { get; set; } //这个是从Action中传过来的角色
        public override void OnAuthorization(AuthorizationContext actionContext)
        {

            var token = actionContext.HttpContext.Request.Params["Token"];

            if (!string.IsNullOrEmpty(token))
            {
                string controllerName = actionContext.ActionDescriptor.ControllerDescriptor.ControllerName; //得到控制器名称
                string actionName = actionContext.ActionDescriptor.ActionName;//得到Action名称
                string roles = GetActionRoles(actionName, controllerName); // 在Xml文件中根据控制器 Action 找到对应的访问角色权限
                if (!string.IsNullOrWhiteSpace(roles))
                {
                    this.Roles = Roles + "," + roles;
                    var isAuthValidate = ValidateTicket(token, Roles);
                    if (isAuthValidate != AuthorizeState.ValidateSuucss)
                    {
                        base.HandleUnauthorizedRequest(actionContext);
                    }

                }
            }
            else{

             base.HandleUnauthorizedRequest(actionContext);

           }
           

        }

        //获取当前Action的访问角色
        public static string GetActionRoles(string action, string controller)
        {
            XElement rootElement = XElement.Load(HttpContext.Current.Server.MapPath("/") + "/XML/RoleAction.xml");
            XElement controllerElement = findElementByAttribute(rootElement, "Controller", controller);
            if (controllerElement != null)
            {
                XElement actionElement = findElementByAttribute(controllerElement, "Action", action);
                if (actionElement != null)
                {
                    return actionElement.Value;
                }
            }
            return "";
        }

        public static XElement findElementByAttribute(XElement xElement, string tagName, string attribute)
        {
            return xElement.Elements(tagName).FirstOrDefault(x => x.Attribute("name").Value.Equals(attribute, StringComparison.OrdinalIgnoreCase));
        }

        //校验用户名密码（对Session匹配，或数据库数据匹配）
        private AuthorizeState ValidateTicket(string encryptToken,string role)
        {
            if (encryptToken == null)
            {
                return AuthorizeState.TokenErro;
            }
            //解密Ticket
            var strTicket = FormsAuthentication.Decrypt(encryptToken).UserData;

            //从Ticket里面获取用户名和密码
            var index = strTicket.IndexOf("&");
            string userName = strTicket.Substring(0, index);
            string password = strTicket.Substring(index + 1);
            ArrayList arrayList = new ArrayList(role.Split(','));
            var roleName = HttpContext.Current.Session["Role"].ToString();
            var name = HttpContext.Current.Session["UserName"].ToString();
            //取得session，不通过说明用户退出，或者session已经过期
            if (arrayList.Contains(roleName) && name == userName)  //获取对应控制器 对应方法的访问角色权限 如果包含说明符合访问 否则返回权限错误
            {
                return AuthorizeState.ValidateSuucss;
            }
            else
            {
                return AuthorizeState.UserValidateErro;
            }
        }
    }

当我们去访问这个方法时。他会先进行身份验证。进入MVCAuthorize中。 这里你可以扩展开来。 比如我临时需要对这个方法在多开放些角色 ，可以直接在action 带上

        [MVCAuthorize(Roles = "VIP9,ActiveUser")]
        public ActionResult Chat()
        {

            var account = HttpContext.User.Identity.Name;
            ModelDBContext db = new ModelDBContext();
            //ViewBag.UserName =db.User.Where(x=>x.Email == account).FirstOrDefault().FullName;         
            return View();
        }

当检测到用户未登陆 。 没有通过认证的同时 去访问的话。  会返回一个401 你没有当前页面权限访问

然后就是通过验证后的样子

常常是看别人怎么实现。 还是自己多去实践 才能成长更快。 加油

工作之余。手撸代码。颇有漏洞。望君批正。