FormsAuthenticationTicket
使用此类来为用户生成一个身份票据 持有该票据则说明该用户是通过了身份验证的用户 可以随时访问某些资源 我们先创建几个类
//用户
public class UserInfo
{
public string Name { get; set; }
public int RoleID { get; set; }
public string Password { get; set; }
}
//权限
public class RoleRight
{
public int RoleID { get; set; }
public string Route { get; set; }
}
//用户列表
public class UserInfoList
{
public List<UserInfo> list = new List<UserInfo>
{
},
},
};
}
//权限列表
public class RoleRightList
{
List<RoleRight> list = new List<RoleRight>
{
, Route="default/employee"},
, Route="default/admin"}
};
}
用户列表存储了两个用户 它们的密码是加密后的字符 加密类在文章最后会提供 下面通过登录 测试该用户是否存在 如果存在则为其生成一个身份票据
[HttpPost]
public ActionResult Login(string name, string password)
{
//查询否有此用户
") == password);
if (user != null)
{
//为其创建身份票据
FormsAuthenticationTicket Ticket = , user.Name, DateTime.Now, DateTime.Now.AddDays(), true,user.RoleID.ToString());
//加密票据
string HashTicket = FormsAuthentication.Encrypt(Ticket);
//将票据写入客户端
HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);
Response.Cookies.Add(UserCookie);
//跳转到登录之前的页面
var loginAgoUrl = FormsAuthentication.GetRedirectUrl(user.Name, true);
return Redirect(loginAgoUrl);
}
ViewData["msg"] = "无此用户";
return View();
}
这样 登录用户就可以获得一个身份票据了 票据以cookie的形式存储在客户端 我们将票据的过期时间设为20天 即20天过后 票据失效 用户必须通过重新登录来访问站点的某些需要登录用户才能访问资源
获取已通过身份验证的用户的信息
我们知道通过HttpContext.User.Identity.Name可以获取到身份票据中的用户的名字 但无法获取到用户更多的信息 不可能每次都去查询数据库来获取该用户的信息 那么我们可以手动将用户类扩展一下 让其实现两个接口IPrincipal和IIdentity接口 因为HttpContext.User也实现这两个接口 HttpContext.User通过实现这两个接口能获取到用户的名字 如果用户类也实现这两个接口 则HttpContext.User就可以转换为用户类 用户类存储的信息则可以随时被访问到 转换后则可以在任何地方使用它来获取经过身份验证后的用户的所有信息了 我们将上面的UserInfo实现IPrincipal和IIdentity 如下
//用户
public class UserInfo : IPrincipal, IIdentity
{
//实现IIdentity接口 表示身份验证的类型为表单验证模式
public string AuthenticationType { get { return "Froms"; } }
//实现IIdentity接口 表示是否通过了身份验证
public bool IsAuthenticated { get { return true; } }
//实现IIdentity接口 用户名
string IIdentity.Name { get { return this.UserName; } }
//实现IPrincipal接口 用户唯一标识
public IIdentity Identity { get { return this; } }
//实现IPrincipal接口 如果当前用户是指定角色的成员,则为 true;否则为 false。
public bool IsInRole(string role)
{
return false;
}
public string Name { get; set; }
public int RoleID { get; set; }
public string Password { get; set; }
}
为了不用每次都去判断当前请求者是否是通过验证的用户 我们可以在Global.asax文件 为Application_PostAuthenticateRequest事件添加几行代码 如下
public class MvcApplication : System.Web.HttpApplication
{
protected void Application_PostAuthenticateRequest(object sender, EventArgs e)
{
HttpApplication app = (HttpApplication)sender;
if (app.Context.User.Identity.Name != "") // 仅在用户已持有票据时将HttpContext.User替换为用户类UserInfo
{
var data = new UserInfoList().list.SingleOrDefault(n => n.Name == app.Context.User.Identity.Name);
if (data != null)
{
UserInfo user = data;
app.Context.User = user;
Thread.CurrentPrincipal = user;
}
}
}
protected void Application_Start()
{
//……
}
}
现在 可以在Action这样访问用户信息了
public class DefaultController : Controller
{
private UserInfo user = System.Web.HttpContext.Current.User as UserInfo;
public ActionResult Index()
{
if (user != null)
{
ViewData["Name"] = user.Name;
ViewData["Password"] = user.Password;
}
return View();
}
}
注销身份票据
FormsAuthentication.SignOut();
是否持有身份票据
HttpContext.Current.User.Identity.IsAuthenticated
自定义过滤器验证用户角色是否有访问某资源的权限
只需要重写过滤器特性Authorize的OnAuthorization方法 该方法在截获用户请求后会被自动调用 即Url匹配路由成功 并转向对应的控制器之前会调用OnAuthorization方法 你可以在该方法中测试该用户的角色是否有访问该地址的权限
public class MyFilters : AuthorizeAttribute
{
public override void OnAuthorization(AuthorizationContext filterContext)
{
UserInfo user = System.Web.HttpContext.Current.User == null ? null : System.Web.HttpContext.Current.User as UserInfo;
var httpContext = filterContext.HttpContext;
//未登录用户
if (user == null) { filterContext.HttpContext.Response.Redirect("/Error.html"); return; }
//获取登录用户的角色ID
int roleID = user.RoleID;
//获取请求的Url中的controller名字 如果要获取action的名字 则可以Values["action"]
string Url = "/" + RouteTable.Routes.GetRouteData(httpContext).Values["controller"].ToString();
//获取权限对应的功能
var Data = new UserInfoList().list.Where(m => m.RoleID == roleID);
var UrlList = from m in Data
join n in new RoleRightList().list
on m.RoleID equals n.RoleID
select n.Route;
//所请求的Url未通过验证
if (UrlList.Where(m => m.Contains(Url)).FirstOrDefault() == null)
{
httpContext.Response.Redirect("/Error.html");
return;
}
//否则转向默认的过滤器 默认过滤器无逻辑测试则会将请求转到对应的action
base.OnAuthorization(filterContext);
}
}
要使用这个过滤器只需要在Action或Controller上应用自定义的特性[MyFilters]
[MyFilters]
public class AdminController : Controller
{
}
这样 当每次请求进入控制器就会自动调用MyFilters过滤器 或者在Action方法上使用该特性也可以
票据加密算法
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using System.Web;
namespace EncryptionHelper
{
public class Encryption
{
//默认密钥向量
private static byte[] Keys = { 0xEF, 0xAB, 0x56, 0x78, 0x90, 0x34, 0xCD, 0x12 };
#region DES加密字符
/// <summary>
/// DES加密字符
/// </summary>
/// <param name="encryptString">待加密的字符串</param>
/// <param name="encryptKey">加密密钥,要求为8位</param>
/// <returns>加密成功返回加密后的字符串,失败返回源串</returns>
public static string EncryptDES(string encryptString, string encryptKey)
{
try
{
, ));
byte[] rgbIV = Keys;
byte[] inputByteArray = Encoding.UTF8.GetBytes(encryptString);
DESCryptoServiceProvider dCSP = new DESCryptoServiceProvider();
MemoryStream mStream = new MemoryStream();
CryptoStream cStream = new CryptoStream(mStream, dCSP.CreateEncryptor(rgbKey, rgbIV), CryptoStreamMode.Write);
cStream.Write(inputByteArray, , inputByteArray.Length);
cStream.FlushFinalBlock();
return Convert.ToBase64String(mStream.ToArray());
}
catch
{
return encryptString;
}
}
#endregion
#region DES解密字符串
/// <summary>
/// DES解密字符串
/// </summary>
/// <param name="decryptString">待解密的字符串</param>
/// <param name="decryptKey">解密密钥,要求为8位,和加密密钥相同</param>
/// <returns>解密成功返回解密后的字符串,失败返源串</returns>
public static string DecryptDES(string decryptString, string decryptKey)
{
try
{
, ));
byte[] rgbIV = Keys;
byte[] inputByteArray = Convert.FromBase64String(decryptString);
DESCryptoServiceProvider DCSP = new DESCryptoServiceProvider();
MemoryStream mStream = new MemoryStream();
CryptoStream cStream = new CryptoStream(mStream, DCSP.CreateDecryptor(rgbKey, rgbIV), CryptoStreamMode.Write);
cStream.Write(inputByteArray, , inputByteArray.Length);
cStream.FlushFinalBlock();
return Encoding.UTF8.GetString(mStream.ToArray());
}
catch
{
return decryptString;
}
}
#endregion
#region SH1加密
/// <summary>
/// SH1加密
/// </summary>
/// <param name="Source_String">待加密的字符串</param>
/// <returns>加密成功返回加密后的字符串,失败返回源串</returns>
public string SHA1_Encrypt(string Source_String)
{
byte[] StrRes = Encoding.Default.GetBytes(Source_String);
HashAlgorithm iSHA = new SHA1CryptoServiceProvider();
StrRes = iSHA.ComputeHash(StrRes);
StringBuilder EnText = new StringBuilder();
foreach (byte iByte in StrRes)
{
EnText.AppendFormat("{0:x2}", iByte);
}
return EnText.ToString();
}
#endregion
}
}