参考 :
http://hi.baidu.com/iykqqlpugocfnqe/item/e132329bdea22acbb6253105 ASP.NET中处理请求的流程图
http://www.cnblogs.com/yao/archive/2006/06/24/434783.html
http://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html#_label3
这篇主要说说实现和逻辑流程.
比如有一些文件是不公开的,只有管理人员能访问的到,这要求他们必须先"登入"。这就是认证
那么授权是在认证之后发生的事情,管理人员也有分等级,好比公司有些机密文件只有上层可以看。这就是授权.
认证和授权微软已经为我们做了很多封装,form 认证就是其中一种。
不过,这里我们先想想,在原始年代,我们要如何去实现呢?
我们都知道web所有资源都是通过http请求来访问的。显然第一步是拦截所有不公开的资源.
第二步就是检查他们是否"登入".
所谓的"登入"其实就是通过一个 cookie 来完成的。
如果请求没有附带指定的 cookie 那么就表示没有登入,就该阻止访问 (并跳转到登入界面).
在登入页面确认用户密码后,给予cookie,就表示登入了啦 .
第三步
通过了认证,我们必须查看这个用户的身份(或者说角色), 比如是经理,主管,还是普通员工。
进一步的验证用户是否有足够的权限(授权)来访问这个资源。
好了,其实不太难。大至少就是这样了。
以上步骤涉及到2个重要的点 :
1. 如果拦截特定的资源请求 ?
2. cookie 的安全性
下面我来个一个微软封装好的例子, 一般上普通项目够用了。
1.在web config 加上一个 authentication
<system.web> <authentication mode="Forms"> <forms loginUrl="~/login/Default.aspx" timeout="2880" defaultUrl="~/" /> </authentication> </system.web>
这里用 mode 是 forms (我也只会这个)
loginUrl 是登入页面的路径 , timeout 是说cookie 的有效时间 , defaultUrl 我不清楚
2. 做一个登入页面,这里只是随便做。你明白就可以了
protected void Page_Load(object sender, EventArgs e) { } protected void Button1_Click(object sender, EventArgs e) //登入 { //set一个cookie , name and 是否要持久cookie,false的话会base on web config 的timeout FormsAuthentication.SetAuthCookie("keatkeat", false); } protected void Button2_Click(object sender, EventArgs e) //注销 { FormsAuthentication.SignOut(); }
3. 设定哪些文件路径需要拦截认证
<configuration>
<location path="securityFolder">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
</configuration>
path 指定路径,其下的所有folders files 都被限制了.
authorization 内的元素 有多种配搭模式
<deny users="?"> 基本上由 3 的东东做出来,
1. deny | allow (禁止 或者 允许)
2.users | roles | verbs ( users 用户 , roles 角色比较特别,后面我会教你如何设置一个或多个角色在一个user身上,verbs 就是http method ,GET POST 等)
3. ? | * ( ? 代表匿名 , * 代表所有的)
所以上面这一句的解释是 -禁止匿名用户- (没登入就无法访问)
完成以上的步骤基本上就可以做到一个简单的认证授权机制了(不需要分角色的话)
那么如果我们要高级一点的呢?
<location path="securityFolder"> <system.web> <authorization> <allow roles="Admin,Boss"/> <deny users="*"/> </authorization> </system.web> </location>
允许角色为Admin或者Boss , 禁止所有用户
现在我们必须把用户的角色添加进用户里 (因为从上面开来,我们只给了个Name给用户)
class AuthenticateHttpModule : IHttpModule { public void Dispose() { } public void Init(HttpApplication context) { context.AuthenticateRequest += new EventHandler(AuthenticateRequest); } private void AuthenticateRequest(object sender, EventArgs e) { HttpApplication app = (HttpApplication)sender; HttpContext ctx = app.Context; //获取本次Http请求的HttpContext对象 if (ctx.User != null) { if (ctx.Request.IsAuthenticated == true) //验证过的一般用户才能进行角色验证 { string name = ctx.User.Identity.Name; FormsIdentity fi = (System.Web.Security.FormsIdentity)ctx.User.Identity; //FormsAuthenticationTicket ticket = fi.Ticket; //取得身份验证票 //string userData = ticket.UserData;//从UserData中恢复role信息 string[] roles = "Admin,zz".Split(','); //将角色数据转成字符串数组,得到相关的角色信息 ctx.User = new GenericPrincipal(fi, roles); //这样当前用户就拥有角色信息了 } } } }
这里我们要写一个 HttpModule 来完成 (记得web config 也要添加哦)
我们用 new GenericPrincipal 来添加角色进用户里,这样就可以了。
注 : 我们这个模块是跑在微软后面的,所以我们完全不需要从cookie里面获取任何东西,直接用 context.User 就好了。
以上大概就是全部的过程了。
下面我另外谈谈我的一些开发经验。
现今我们做的大部分是单页面应用,只有一个登入页面和一个主页面,其它的页面都是虚拟的。
如果是自己做 url rewrite 的话,要注意的是,请在 ResolveRequestCache(认证授权模块之后) 时才做.
以上的部分,如果你想自己实现也是完全可以的,cookie 的加密可以用微软的加密方法,你也可以继承 IPrincipal 来实现 自己的 User
也可以注册 HttpModule 拦截 AuthorizeRequest 比对路径,去sql 拿用户职位等等来做授权验证。
还有如果你用的是 WebAPI 的话,建议要把这2者分开。以上说的拦截是针对页面资源的访问。
因为 WebAPI 内部也有拦截认证和授权的机制。所以针对 WebAPI 的资源还是用用 WebAPI 本身的机制来管理比较妥当.
相关文章