提问人:Razzie 提问时间:6/30/2009 最后编辑:KiquenetRazzie 更新时间:5/10/2022 访问量:227455
ASP.NET MVC - 设置自定义 IIdentity 或 IPrincipal
ASP.NET MVC - Set custom IIdentity or IPrincipal
问:
我需要做一些相当简单的事情:在我的 ASP.NET MVC 应用程序中,我想设置一个自定义 IIdentity / IPrincipal。以更容易/更合适的为准。我想扩展默认值,以便我可以调用类似 和 的东西。没什么花哨的,只是一些额外的属性。User.Identity.IdUser.Identity.Role
我读过很多文章和问题,但我觉得我让它比实际更难。我以为这很容易。如果用户登录,我想设置自定义 IIdentity。所以我想,我将在我的 global.asax 中实现。但是,这是在每个请求上调用的,我不想在每个请求上调用数据库,这将从数据库中请求所有数据并放入自定义 IPrincipal 对象中。这似乎也非常不必要,速度很慢,而且在错误的地方(在那里进行数据库调用),但我可能是错的。或者这些数据还来自哪里?Application_PostAuthenticateRequest
所以我想,每当用户登录时,我都可以在会话中添加一些必要的变量,这些变量将添加到事件处理程序中的自定义 IIdentity 中。但是,我在那里,所以那也不是要走的路。Application_PostAuthenticateRequestContext.Sessionnull
我已经为此工作了一天,我觉得我错过了一些东西。这应该不会太难,对吧?我也对随之而来的所有(半)相关的东西感到有些困惑。, , , , , , ....我是唯一一个觉得这一切非常令人困惑的人吗?MembershipProviderMembershipUserRoleProviderProfileProviderIPrincipalIIdentityFormsAuthentication
如果有人能告诉我一个简单、优雅、高效的解决方案,可以在 IIdentity 上存储一些额外的数据,而不需要所有额外的模糊。那太好了!我知道 SO 上有类似的问题,但如果我需要的答案就在那里,我一定忽略了。
答:
111赞
John Rasch
6/30/2009
#1
我不能直接代表 ASP.NET MVC,但对于 ASP.NET Web 窗体,诀窍是在用户通过身份验证后创建一个并将其加密为 cookie。这样,您只需调用数据库一次(或 AD 或用于执行身份验证的任何内容),每个后续请求都将根据存储在 cookie 中的票证进行身份验证。FormsAuthenticationTicket
一篇关于此的好文章: http://www.ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html(断开的链接)
编辑:
由于上面的链接已损坏,我会在上面的答案中推荐 LukeP 的解决方案: https://stackoverflow.com/a/10524305 - 我还建议将接受的答案更改为该答案。
编辑 2:断开链接的替代方法:https://web.archive.org/web/20120422011422/http://ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html
评论
0赞
John Zumbrum
4/24/2012
来自 PHP,我总是将用户 ID 等信息和授予受限访问权限所需的其他部分放在 Session 中。将其存储在客户端让我感到紧张,您能评论一下为什么这不会成为问题吗?
0赞
John Rasch
4/24/2012
@JohnZ - 票证本身在通过网络发送之前在服务器上是加密的,因此客户端不会访问票证中存储的数据。请注意,会话 ID 也存储在 cookie 中,因此它并没有太大的不同。
3赞
mynkow
4/26/2013
如果你在这里,你应该看看LukeP的解决方案
2赞
Red Taz
5/8/2013
我一直担心这种方法可能会超过最大 cookie 大小 (stackoverflow.com/questions/8706924/...)。我倾向于使用 作为替代品来将数据保留在服务器上。谁能告诉我这是否是一种有缺陷的方法?CacheSession
2赞
Geoffrey Hudik
6/5/2013
不错的方法。这样做的一个潜在问题是,如果您的用户对象具有多个属性(尤其是任何嵌套对象),一旦加密值超过 4KB,创建 cookie 将以静默方式失败(比您可能想象的更容易命中)。如果你只存储关键数据,那很好,但剩下的就必须按数据库了。另一个考虑因素是在用户对象发生签名或逻辑更改时“升级”cookie 数据。
64赞
Sriwantha Attanayake
11/20/2009
#2
下面是一个完成工作的示例。bool isValid 是通过查看一些数据存储(假设您的用户数据库)来设置的。UserID 只是我正在维护的 ID。您可以将电子邮件地址等其他信息添加到用户数据中。
protected void btnLogin_Click(object sender, EventArgs e)
{
//Hard Coded for the moment
bool isValid=true;
if (isValid)
{
string userData = String.Empty;
userData = userData + "UserID=" + userID;
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, username, DateTime.Now, DateTime.Now.AddMinutes(30), true, userData);
string encTicket = FormsAuthentication.Encrypt(ticket);
HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
Response.Cookies.Add(faCookie);
//And send the user where they were heading
string redirectUrl = FormsAuthentication.GetRedirectUrl(username, false);
Response.Redirect(redirectUrl);
}
}
在 Golbal Asax 中,添加以下代码以检索您的信息
protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
HttpCookie authCookie = Request.Cookies[
FormsAuthentication.FormsCookieName];
if(authCookie != null)
{
//Extract the forms authentication cookie
FormsAuthenticationTicket authTicket =
FormsAuthentication.Decrypt(authCookie.Value);
// Create an Identity object
//CustomIdentity implements System.Web.Security.IIdentity
CustomIdentity id = GetUserIdentity(authTicket.Name);
//CustomPrincipal implements System.Web.Security.IPrincipal
CustomPrincipal newUser = new CustomPrincipal();
Context.User = newUser;
}
}
当您稍后要使用这些信息时,您可以按如下方式访问您的自定义主体。
(CustomPrincipal)this.User
or
(CustomPrincipal)this.Context.User
这将允许您访问自定义用户信息。
评论
2赞
Dan Esparza
5/20/2010
仅供参考 -- 它是 Request.Cookies[] (复数)
10赞
Russ Cam
5/31/2010
不要忘记将 Thread.CurrentPrincipal 和 Context.User 设置为 CustomPrincipal。
6赞
Ryan
3/12/2011
GetUserIdentity() 从何而来?
0赞
Sriwantha Attanayake
1/29/2012
正如我在评论中提到的,它提供了 System.Web.Security.IIdentity 的实现。谷歌关于那个界面
16赞
brady gaster
6/23/2011
#3
MVC 提供了从控制器类挂起的 OnAuthorize 方法。或者,您可以使用自定义操作筛选器来执行授权。MVC 使它变得非常容易。我在这里发布了一篇关于此的博客文章。http://www.bradygaster.com/post/custom-authentication-with-mvc-3.0
评论
0赞
Dragouf
8/18/2011
但会话可能会丢失,用户仍会进行身份验证。不?
0赞
RayLoveless
4/12/2016
@brady,我读了你的博客文章(谢谢!),为什么有人会使用你的帖子中提到的覆盖“OnAuthorize()”,而不是global.asax条目“......AuthenticateRequest(..)“,其他答案提到了吗?在设置主要用户时,一个是否优于另一个?
862赞
LukeP
5/10/2012
#4
这是我是如何做到的。
我决定使用 IPrincipal 而不是 IIdentity,因为这意味着我不必同时实现 IIdentity 和 IPrincipal。
创建界面
interface ICustomPrincipal : IPrincipal { int Id { get; set; } string FirstName { get; set; } string LastName { get; set; } }自定义校长
public class CustomPrincipal : ICustomPrincipal { public IIdentity Identity { get; private set; } public bool IsInRole(string role) { return false; } public CustomPrincipal(string email) { this.Identity = new GenericIdentity(email); } public int Id { get; set; } public string FirstName { get; set; } public string LastName { get; set; } }CustomPrincipalSerializeModel - 用于将自定义信息序列化到 FormsAuthenticationTicket 对象中的用户数据字段中。
public class CustomPrincipalSerializeModel { public int Id { get; set; } public string FirstName { get; set; } public string LastName { get; set; } }登录方法 - 使用自定义信息设置 cookie
if (Membership.ValidateUser(viewModel.Email, viewModel.Password)) { var user = userRepository.Users.Where(u => u.Email == viewModel.Email).First(); CustomPrincipalSerializeModel serializeModel = new CustomPrincipalSerializeModel(); serializeModel.Id = user.Id; serializeModel.FirstName = user.FirstName; serializeModel.LastName = user.LastName; JavaScriptSerializer serializer = new JavaScriptSerializer(); string userData = serializer.Serialize(serializeModel); FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket( 1, viewModel.Email, DateTime.Now, DateTime.Now.AddMinutes(15), false, userData); string encTicket = FormsAuthentication.Encrypt(authTicket); HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket); Response.Cookies.Add(faCookie); return RedirectToAction("Index", "Home"); }Global.asax.cs - 读取 cookie 并替换 HttpContext.User 对象,这是通过重写 PostAuthenticateRequest 完成的
protected void Application_PostAuthenticateRequest(Object sender, EventArgs e) { HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName]; if (authCookie != null) { FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value); JavaScriptSerializer serializer = new JavaScriptSerializer(); CustomPrincipalSerializeModel serializeModel = serializer.Deserialize<CustomPrincipalSerializeModel>(authTicket.UserData); CustomPrincipal newUser = new CustomPrincipal(authTicket.Name); newUser.Id = serializeModel.Id; newUser.FirstName = serializeModel.FirstName; newUser.LastName = serializeModel.LastName; HttpContext.Current.User = newUser; } }在 Razor 视图中访问
@((User as CustomPrincipal).Id) @((User as CustomPrincipal).FirstName) @((User as CustomPrincipal).LastName)
在代码中:
(User as CustomPrincipal).Id
(User as CustomPrincipal).FirstName
(User as CustomPrincipal).LastName
我认为代码是不言自明的。如果不是,请告诉我。
此外,为了使访问更加容易,您可以创建一个基本控制器并重写返回的 User 对象 (HttpContext.User):
public class BaseController : Controller
{
protected virtual new CustomPrincipal User
{
get { return HttpContext.User as CustomPrincipal; }
}
}
然后,对于每个控制器:
public class AccountController : BaseController
{
// ...
}
这将允许您在代码中访问自定义字段,如下所示:
User.Id
User.FirstName
User.LastName
但这在视图中不起作用。为此,需要创建自定义 WebViewPage 实现:
public abstract class BaseViewPage : WebViewPage
{
public virtual new CustomPrincipal User
{
get { return base.User as CustomPrincipal; }
}
}
public abstract class BaseViewPage<TModel> : WebViewPage<TModel>
{
public virtual new CustomPrincipal User
{
get { return base.User as CustomPrincipal; }
}
}
使其成为 Views/web.config 中的默认页面类型:
<pages pageBaseType="Your.Namespace.BaseViewPage">
<namespaces>
<add namespace="System.Web.Mvc" />
<add namespace="System.Web.Mvc.Ajax" />
<add namespace="System.Web.Mvc.Html" />
<add namespace="System.Web.Routing" />
</namespaces>
</pages>
在视图中,您可以像这样访问它:
@User.FirstName
@User.LastName
评论
9赞
David Keaveny
6/26/2012
很好的实现;请注意 RoleManagerModule 将自定义主体替换为 RolePrincipal。这给我带来了很多痛苦——stackoverflow.com/questions/10742259/......
9赞
Pierre-Alain Vigeant
11/21/2012
好的,我找到了解决方案,只需添加一个 else 开关,该开关将“”(空字符串)作为电子邮件传递,并且身份将是匿名的。
3赞
1110
12/25/2012
DateTime.Now.AddMinutes(N)...如何做到这一点,使其不会在 N 分钟后注销用户,登录用户是否可以持久化(例如,当用户选中“记住我”时)?
4赞
Jonathan Levison
7/17/2013
如果您使用的是 WebApiController,则需要设置 at 才能使其工作,因为它不依赖于Thread.CurrentPrincipalApplication_PostAuthenticateRequestHttpContext.Current.User
3赞
LukeP
1/30/2014
@AbhinavGujjar对我来说很好用。FormsAuthentication.SignOut();
2赞
Manight
12/25/2012
#5
作为对 Web 窗体用户(非 MVC)的 LukeP 代码的补充,如果要简化页面背后代码的访问,只需将下面的代码添加到基本页面,并在所有页面中派生基本页面:
Public Overridable Shadows ReadOnly Property User() As CustomPrincipal
Get
Return DirectCast(MyBase.User, CustomPrincipal)
End Get
End Property
因此,在您的代码隐藏中,您可以简单地访问:
User.FirstName or User.LastName
在Web窗体场景中,我缺少的是如何在不绑定到页面的代码中获得相同的行为,例如在httpmodules中,我是否应该始终在每个类中添加强制转换,或者是否有更智能的方法来获取此行为?
感谢您的回答,感谢 LukeP,因为我使用您的示例作为我的自定义用户的基础(现在有 、 、 和许多其他好东西)User.RolesUser.TasksUser.HasPath(int)User.Settings.Timeout
11赞
Base
3/10/2013
#6
如果您需要将一些方法挂接到@User以在视图中使用,这里有一个解决方案。对于任何严肃的成员资格定制都没有解决方案,但如果仅视图需要原始问题,那么这可能就足够了。下面用于检查从 authorizefilter 返回的变量,用于验证某些链接是否要显示(不适用于任何类型的授权逻辑或访问授予)。
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Security.Principal;
namespace SomeSite.Web.Helpers
{
public static class UserHelpers
{
public static bool IsEditor(this IPrincipal user)
{
return null; //Do some stuff
}
}
}
然后,只需在 web.config 区域中添加一个引用,并在视图中按如下所示调用它。
@User.IsEditor()
评论
1赞
oneNiceFriend
6/5/2016
在您的解决方案中,我们每次都需要进行数据库调用。因为用户对象没有自定义属性。它只有 Name 和 IsAuthanticated
0赞
Base
6/5/2016
这完全取决于您的实现和期望的行为。我的示例包含 0 行数据库或角色逻辑。如果使用 IsInRole,我相信它可以反过来缓存在 cookie 中。或者,您可以实现自己的缓存逻辑。
3赞
AechoLiu
4/23/2013
#7
根据 LukeP 的回答,添加一些设置和配合的方法。timeoutrequireSSLWeb.config
参考资料链接
LukeP的修改代码
1、设置基于。FormsAuthentication.Timeout 将获取 web.config 中定义的超时值。我将以下内容包装成一个函数,它返回一个返回。timeoutWeb.Configticket
int version = 1;
DateTime now = DateTime.Now;
// respect to the `timeout` in Web.config.
TimeSpan timeout = FormsAuthentication.Timeout;
DateTime expire = now.Add(timeout);
bool isPersist = false;
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
version,
name,
now,
expire,
isPersist,
userData);
2、根据配置配置cookie是否安全。RequireSSL
HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
// respect to `RequreSSL` in `Web.Config`
bool bSSL = FormsAuthentication.RequireSSL;
faCookie.Secure = bSSL;
2赞
Erik Funkenbusch
6/1/2017
#8
好吧,所以我在这里是一个严肃的密码管理员,拖着这个非常古老的问题,但有一种更简单的方法,上面@Baserz都谈到了这一点。也就是说,结合使用 C# 扩展方法和缓存(不要使用会话)。
事实上,Microsoft 已经在 Microsoft.AspNet.Identity.IdentityExtensions 命名空间中提供了许多这样的扩展。例如,是返回用户 ID 的扩展方法。还有 和 ,它返回基于 IPrincipal 的声明。GetUserId()GetUserName()FindFirstValue()
因此,只需包含命名空间,然后调用以获取 ASP.NET Identity 配置的用户名。User.Identity.GetUserName()
我不确定这是否被缓存,因为较旧的 ASP.NET Identity 不是开源的,而且我没有费心对其进行逆向工程。但是,如果不是,那么您可以编写自己的扩展方法,这将在特定的时间内缓存此结果。
评论
0赞
Alex from Jitbit
6/9/2017
为什么“不使用会话”?
0赞
Erik Funkenbusch
6/9/2017
@jitbit - 因为会话不可靠且不安全。出于同样的原因,出于安全目的,您永远不应该使用会话。
0赞
Alex from Jitbit
6/9/2017
“不可靠”可以通过重新填充会话(如果为空)来解决。“不安全” - 有一些方法可以防止会话劫持(仅使用 HTTPS + 其他方式)。但我实际上同意你的看法。那你会把它藏在哪里呢?信息等?你在想 ?IsUserAdministratorUserEmailHttpRuntime.Cache
0赞
Erik Funkenbusch
6/9/2017
@jitbit - 这是一种选择,或者另一种缓存解决方案(如果有的话)。确保缓存条目在一段时间后过期。不安全也适用于本地系统,因为您可以手动更改 cookie 并猜测会话 ID。中间的人并不是唯一的问题。
0赞
Vasily Ivanov
6/26/2018
#9
我尝试了 LukeP 建议的解决方案,发现它不支持 Authorize 属性。所以,我稍微修改了一下。
public class UserExBusinessInfo
{
public int BusinessID { get; set; }
public string Name { get; set; }
}
public class UserExInfo
{
public IEnumerable<UserExBusinessInfo> BusinessInfo { get; set; }
public int? CurrentBusinessID { get; set; }
}
public class PrincipalEx : ClaimsPrincipal
{
private readonly UserExInfo userExInfo;
public UserExInfo UserExInfo => userExInfo;
public PrincipalEx(IPrincipal baseModel, UserExInfo userExInfo)
: base(baseModel)
{
this.userExInfo = userExInfo;
}
}
public class PrincipalExSerializeModel
{
public UserExInfo UserExInfo { get; set; }
}
public static class IPrincipalHelpers
{
public static UserExInfo ExInfo(this IPrincipal @this) => (@this as PrincipalEx)?.UserExInfo;
}
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<ActionResult> Login(LoginModel details, string returnUrl)
{
if (ModelState.IsValid)
{
AppUser user = await UserManager.FindAsync(details.Name, details.Password);
if (user == null)
{
ModelState.AddModelError("", "Invalid name or password.");
}
else
{
ClaimsIdentity ident = await UserManager.CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie);
AuthManager.SignOut();
AuthManager.SignIn(new AuthenticationProperties { IsPersistent = false }, ident);
user.LastLoginDate = DateTime.UtcNow;
await UserManager.UpdateAsync(user);
PrincipalExSerializeModel serializeModel = new PrincipalExSerializeModel();
serializeModel.UserExInfo = new UserExInfo()
{
BusinessInfo = await
db.Businesses
.Where(b => user.Id.Equals(b.AspNetUserID))
.Select(b => new UserExBusinessInfo { BusinessID = b.BusinessID, Name = b.Name })
.ToListAsync()
};
JavaScriptSerializer serializer = new JavaScriptSerializer();
string userData = serializer.Serialize(serializeModel);
FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
1,
details.Name,
DateTime.Now,
DateTime.Now.AddMinutes(15),
false,
userData);
string encTicket = FormsAuthentication.Encrypt(authTicket);
HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
Response.Cookies.Add(faCookie);
return RedirectToLocal(returnUrl);
}
}
return View(details);
}
最后在 Global.asax.cs 中
protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
{
HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];
if (authCookie != null)
{
FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);
JavaScriptSerializer serializer = new JavaScriptSerializer();
PrincipalExSerializeModel serializeModel = serializer.Deserialize<PrincipalExSerializeModel>(authTicket.UserData);
PrincipalEx newUser = new PrincipalEx(HttpContext.Current.User, serializeModel.UserExInfo);
HttpContext.Current.User = newUser;
}
}
现在,我只需调用
User.ExInfo()
要注销,我只需调用
AuthManager.SignOut();
其中 AuthManager 是
HttpContext.GetOwinContext().Authentication
评论
MemberShip...PrincipalIdentity