我需要做一些相当简单的事情:在我的ASP。NET MVC应用程序,我想设置自定义IIdentity / IPrincipal。哪一个更容易/更合适。我想扩展默认值,这样我就可以调用User.Identity.Id和User.Identity.Role之类的东西。没什么特别的,只是一些额外的属性。

I've read tons of articles and questions but I feel like I'm making it harder than it actually is. I thought it would be easy. If a user logs on, I want to set a custom IIdentity. So I thought, I will implement Application_PostAuthenticateRequest in my global.asax. However, that is called on every request, and I don't want to do a call to the database on every request which would request all the data from the database and put in a custom IPrincipal object. That also seems very unnecessary, slow, and in the wrong place (doing database calls there) but I could be wrong. Or where else would that data come from?

因此,我认为,每当用户登录时,我都可以在会话中添加一些必要的变量,这些变量将添加到Application_PostAuthenticateRequest事件处理程序中的自定义IIdentity中。然而,我的上下文。Session在那里是空的,所以这也不是正确的方法。

我已经为此工作了一天了,我觉得我遗漏了一些东西。这应该不难,对吧?我也对随之而来的所有(半)相关的东西感到困惑。MembershipProvider, MembershipUser, RoleProvider, ProfileProvider, IPrincipal, IIdentity, FormsAuthentication....难道只有我一个人对这一切感到困惑吗?

如果有人能告诉我一个简单,优雅,高效的解决方案来存储一些额外的数据在IIdentity没有所有额外的模糊。那太好了!我知道在SO上有类似的问题,但如果我需要的答案在那里,我一定是忽略了。


当前回答

好吧,我在这里是一个严肃的密码管理员,通过拖动这个非常古老的问题,但有一个更简单的方法来解决这个问题,上面的@Baserz提到过。那就是使用c#扩展方法和缓存的组合(不要使用会话)。

事实上,Microsoft已经在Microsoft. aspnet . identity . identityextensions名称空间中提供了许多这样的扩展。例如,GetUserId()是一个返回用户Id的扩展方法。还有GetUserName()和FindFirstValue(),它们返回基于IPrincipal的声明。

因此,您只需要包含名称空间,然后调用User.Identity.GetUserName()来获得ASP配置的用户名。净的身份。

我不确定这是否被缓存,因为旧的ASP。NET Identity不是开源的,我也没有费心对它进行逆向工程。然而,如果不是,那么你可以编写自己的扩展方法,这将缓存这个结果的特定数量的时间。

其他回答

我不能直接代表ASP。NET MVC,但对于ASP。NET Web表单,诀窍是创建一个FormsAuthenticationTicket,并在用户通过身份验证后将其加密到一个cookie中。这样,您只需调用数据库一次(或AD或任何您用于执行身份验证的东西),并且每个后续请求都将基于存储在cookie中的票据进行身份验证。

一篇关于这方面的好文章:http://www.ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html(坏链接)

编辑:

由于上面的链接是坏的,我会推荐LukeP的解决方案在他的回答上面:https://stackoverflow.com/a/10524305 -我也会建议接受的答案改为那个。

编辑2: 断开链接的另一种选择:https://web.archive.org/web/20120422011422/http://ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html

好吧,我在这里是一个严肃的密码管理员,通过拖动这个非常古老的问题,但有一个更简单的方法来解决这个问题,上面的@Baserz提到过。那就是使用c#扩展方法和缓存的组合(不要使用会话)。

事实上,Microsoft已经在Microsoft. aspnet . identity . identityextensions名称空间中提供了许多这样的扩展。例如,GetUserId()是一个返回用户Id的扩展方法。还有GetUserName()和FindFirstValue(),它们返回基于IPrincipal的声明。

因此,您只需要包含名称空间,然后调用User.Identity.GetUserName()来获得ASP配置的用户名。净的身份。

我不确定这是否被缓存,因为旧的ASP。NET Identity不是开源的,我也没有费心对它进行逆向工程。然而,如果不是,那么你可以编写自己的扩展方法,这将缓存这个结果的特定数量的时间。

在LukeP回答的基础上,结合Web.config,增加了设置超时和requireSSL的方法。

参考资料链接

MSDN,解释:表单认证在ASP。NET 2.0 MSDN, FormsAuthentication类 所以,.net Access Forms认证的“timeout”值在代码中

LukeP代码修改

1、根据Web.Config设置超时时间。FormsAuthentication。Timeout将获得Timeout值,该值在web.config中定义。我将以下内容包装为一个函数,该函数返回一张票据。

int version = 1;
DateTime now = DateTime.Now;

// respect to the `timeout` in Web.config.
TimeSpan timeout = FormsAuthentication.Timeout;
DateTime expire = now.Add(timeout);
bool isPersist = false;

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
     version,          
     name,
     now,
     expire,
     isPersist,
     userData);

2、根据RequireSSL配置,配置cookie是否安全。

HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
// respect to `RequreSSL` in `Web.Config`
bool bSSL = FormsAuthentication.RequireSSL;
faCookie.Secure = bSSL;

下面是一个完成这项工作的例子。bool isValid是通过查看一些数据存储(假设您的用户数据库)来设置的。UserID只是我维护的一个ID。您可以向用户数据添加其他信息,如电子邮件地址。

protected void btnLogin_Click(object sender, EventArgs e)
{         
    //Hard Coded for the moment
    bool isValid=true;
    if (isValid) 
    {
         string userData = String.Empty;
         userData = userData + "UserID=" + userID;
         FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, username, DateTime.Now, DateTime.Now.AddMinutes(30), true, userData);
         string encTicket = FormsAuthentication.Encrypt(ticket);
         HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
         Response.Cookies.Add(faCookie);
         //And send the user where they were heading
         string redirectUrl = FormsAuthentication.GetRedirectUrl(username, false);
         Response.Redirect(redirectUrl);
     }
}

在全局asax中添加以下代码来检索您的信息

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[
             FormsAuthentication.FormsCookieName];
    if(authCookie != null)
    {
        //Extract the forms authentication cookie
        FormsAuthenticationTicket authTicket = 
               FormsAuthentication.Decrypt(authCookie.Value);
        // Create an Identity object
        //CustomIdentity implements System.Web.Security.IIdentity
        CustomIdentity id = GetUserIdentity(authTicket.Name);
        //CustomPrincipal implements System.Web.Security.IPrincipal
        CustomPrincipal newUser = new CustomPrincipal();
        Context.User = newUser;
    }
}

稍后使用该信息时,可以按如下方式访问自定义主体。

(CustomPrincipal)this.User
or 
(CustomPrincipal)this.Context.User

这将允许您访问自定义用户信息。

MVC为你提供了挂在控制器类上的OnAuthorize方法。或者,您可以使用自定义操作筛选器来执行授权。MVC使它很容易做到。我在这里发表了一篇关于这个的博客文章。http://www.bradygaster.com/post/custom-authentication-with-mvc-3.0