細說ASP.NET Forms身份認證

https://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html

用戶登陸是個很常見的業務需求，在ASP.NET中，這個過程被稱爲身份認證。 因爲很常見，所以，我認爲把這塊內容整理出來，與你們分享應該是件有意義的事。

在開發ASP.NET項目中，咱們最經常使用的是Forms認證，也叫【表單認證】。 這種認證方式既能夠用於局域網環境，也可用於互聯網環境，所以，它有着很是普遍的使用。 這篇博客主要討論的話題是：ASP.NET Forms 身份認證。

有一點我要申明一下：在這篇博客中，不會涉及ASP.NET的登陸系列控件以及membership的相關話題， 我只想用比較原始的方式來講明在ASP.NET中是如何實現身份認證的過程。

ASP.NET身份認證基礎

在開始今天的博客以前，我想有二個最基礎的問題首先要明確：
1. 如何判斷當前請求是一個已登陸用戶發起的？
2. 如何獲取當前登陸用戶的登陸名？

在標準的ASP.NET身份認證方式中，上面二個問題的答案是：
1. 若是Request.IsAuthenticated爲true，則表示是一個已登陸用戶。
2. 若是是一個已登陸用戶，訪問HttpContext.User.Identity.Name可獲取登陸名（都是實例屬性）。

接下來，本文將會圍繞上面二個問題展開，請繼續閱讀。

 

ASP.NET身份認證過程

在ASP.NET中，整個身份認證的過程其實可分爲二個階段：認證與受權。
1. 認證階段：識別當前請求的用戶是否是一個可識別（的已登陸）用戶。
2. 受權階段：是否容許當前請求訪問指定的資源。

這二個階段在ASP.NET管線中分別用AuthenticateRequest和AuthorizeRequest事件來表示。
在認證階段，ASP.NET會檢查當前請求，根據web.config設置的認證方式，嘗試構造HttpContext.User對象供咱們在後續的處理中使用。

在受權階段，會檢查當前請求所訪問的資源是否容許訪問，由於有些受保護的頁面資源可能要求特定的用戶或者用戶組才能訪問。

因此，即便是一個已登陸用戶，也有可能會不能訪問某些頁面。 當發現用戶不能訪問某個頁面資源時，ASP.NET會將請求重定向到登陸頁面。

受保護的頁面與登陸頁面咱們均可以在web.config中指定，具體方法可參考後文。

在ASP.NET中，Forms認證是由FormsAuthenticationModule實現的，URL的受權檢查是由UrlAuthorizationModule實現的。

如何實現登陸與註銷

前面我介紹了可使用Request.IsAuthenticated來判斷當前用戶是否是一個已登陸用戶，那麼這一過程又是如何實現的呢？

爲了回答這個問題，我準備了一個簡單的示例頁面，代碼以下：

<fieldset><legend>用戶狀態</legend><form action="<%= Request.RawUrl %>" method="post"> <% if( Request.IsAuthenticated ) { %> 當前用戶已登陸，登陸名：<%= Context.User.Identity.Name.HtmlEncode() %> <br /> <input type="submit" name="Logon" value="退出" /> <% } else { %> <b>當前用戶還未登陸。</b> <% } %> </form></fieldset> 

頁面顯示效果以下：

 

寫到這裏，我想有必要再來總結一下在ASP.NET中實現登陸與註銷的方法：
1. 登陸：調用FormsAuthentication.SetAuthCookie()方法，傳遞一個登陸名便可。
2. 註銷：調用FormsAuthentication.SignOut()方法。

 

保護受限制的頁面

在一個ASP.NET網站中，有些頁面會容許全部用戶訪問，包括一些未登陸用戶，但有些頁面則必須是已登陸用戶才能訪問， 還有一些頁面可能會要求特定的用戶或者用戶組的成員才能訪問。 這類頁面所以也可稱爲【受限頁面】，它們通常表明着比較重要的頁面，包含一些重要的操做或功能。

爲了保護受限制的頁面的訪問，ASP.NET提供了一種簡單的方式： 能夠在web.config中指定受限資源容許哪些用戶或者用戶組（角色）的訪問，也能夠設置爲禁止訪問。

 

在前面的示例中，有一點要特別注意的是：
1. allow和deny之間的順序必定不能寫錯了，UrlAuthorizationModule將按這個順序依次判斷。
2. 若是某個資源只容許某類用戶訪問，那麼最後的一條規則必定是 <deny users="*" />

在allow和deny的配置中，咱們能夠在一條規則中指定多個用戶：
1. 使用users屬性，值爲逗號分隔的用戶名列表。
2. 使用roles屬性，值爲逗號分隔的角色列表。
3. 問號 (?) 表示匿名用戶。
4. 星號 (*) 表示全部用戶。

 

認識Forms身份認證

前面我演示瞭如何用代碼實現登陸與註銷的過程，下面再來看一下登陸時，ASP.NET到底作了些什麼事情， 它是如何知道當前請求是一個已登陸用戶的？

在繼續探索這個問題前，我想有必要來了解一下HTTP協議的一些特色。
HTTP是一個無狀態的協議，無狀態的意思能夠理解爲： WEB服務器在處理全部傳入請求時，根本就不知道某個請求是不是一個用戶的第一次請求與後續請求，或者是另外一個用戶的請求。 WEB服務器每次在處理請求時，都會按照用戶所訪問的資源所對應的處理代碼，從頭至尾執行一遍，而後輸出響應內容， WEB服務器根本不會記住已處理了哪些用戶的請求，所以，咱們一般說HTTP協議是無狀態的。

雖然HTTP協議與WEB服務器是無狀態，但咱們的業務需求卻要求有狀態，典型的就是用戶登陸， 在這種業務需求中，要求WEB服務器端能區分某個請求是否是一個已登陸用戶發起的，或者當前請求是哪一個用戶發出的。

在開發WEB應用程序時，咱們一般會使用Cookie來保存一些簡單的數據供服務端維持必要的狀態。

既然這是個一般的作法，那咱們如今就來看一下如今頁面的Cookie使用狀況吧，如下是我用FireFox所看到的Cookie列表：

這個名字：LoginCookieName，是我在web.config中指定的：

<authentication mode="Forms" > <forms cookieless="UseCookies" name="LoginCookieName" loginUrl="~/Default.aspx"></forms> </authentication> 

在這段配置中，我不只指定的登陸狀態的Cookie名，還指定了身份驗證模式，以及Cookie的使用方式。

爲了判斷這個Cookie是否與登陸狀態有關，咱們能夠在瀏覽器提供的界面刪除它，而後刷新頁面，此時頁面的顯示效果以下：

 

爲了確認這個Cookie與登陸狀態有關，咱們能夠從新登陸，而後再退出登陸。
發現只要是頁面顯示當前用戶未登陸時，這個Cookie就不會存在。

事實上，經過SetAuthCookie這個方法名，咱們也能夠猜得出這個操做會寫一個Cookie。
注意：本文不討論無Cookie模式的Forms登陸。

 

從前面的截圖咱們能夠看出：雖然當前用戶名是 Fish ，可是，Cookie的值是一串亂碼樣的字符串。
因爲安全性的考慮，ASP.NET對Cookie作過加密處理了，這樣能夠防止惡意用戶構造Cookie繞過登陸機制來模擬登陸用戶。 若是想知道這串加密字符串是如何獲得的，那麼請參考後文。

小結：
1. Forms身份認證是在web.config中指定的，咱們還能夠設置Forms身份認證的其它配置參數。
2. Forms身份認證的登陸狀態是經過Cookie來維持的。
3. Forms身份認證的登陸Cookie是加密的。

 

理解Forms身份認證

通過前面的Cookie分析，咱們能夠發現Cookie的值是一串加密後的字符串， 如今咱們就來分析這個加密過程以及Cookie對於身份認證的做用。

登陸的操做一般會檢查用戶提供的用戶名和密碼，所以登陸狀態也必須具備足夠高的安全性。

在Forms身份認證中，因爲登陸狀態是保存在Cookie中，而Cookie又會保存到客戶端，所以，爲了保證登陸狀態不被惡意用戶僞造， ASP.NET採用了加密的方式保存登陸狀態。

爲了實現安全性，ASP.NET採用【Forms身份驗證憑據】（即FormsAuthenticationTicket對象）來表示一個Forms登陸用戶， 加密與解密由FormsAuthentication的Encrypt與Decrypt的方法來實現。

用戶登陸的過程大體是這樣的：
1. 檢查用戶提交的登陸名和密碼是否正確。
2. 根據登陸名建立一個FormsAuthenticationTicket對象。
3. 調用FormsAuthentication.Encrypt()加密。
4. 根據加密結果建立登陸Cookie，並寫入Response。
在登陸驗證結束後，通常會產生重定向操做， 那麼後面的每次請求將帶上前面產生的加密Cookie，供服務器來驗證每次請求的登陸狀態。

每次請求時的（認證）處理過程以下：
1. FormsAuthenticationModule嘗試讀取登陸Cookie。
2. 從Cookie中解析出FormsAuthenticationTicket對象。過時的對象將被忽略。
3. 根據FormsAuthenticationTicket對象構造FormsIdentity對象並設置HttpContext.User
4. UrlAuthorizationModule執行受權檢查。

在登陸與認證的實現中，FormsAuthenticationTicket和FormsAuthentication是二個核心的類型， 前者能夠認爲是一個數據結構，後者可認爲是處理前者的工具類。

 

UrlAuthorizationModule是一個受權檢查模塊，其實它與登陸認證的關係較爲獨立， 所以，若是咱們不使用這種基於用戶名與用戶組的受權檢查，也能夠禁用這個模塊。

因爲Cookie自己有過時的特色，然而爲了安全，FormsAuthenticationTicket也支持過時策略，

不過，ASP.NET的默認設置支持FormsAuthenticationTicket的可調過時行爲，即：slidingExpiration=true 。 這兩者任何一個過時時，都將致使登陸狀態無效。

FormsAuthenticationTicket的可調過時的主要判斷邏輯由FormsAuthentication.RenewTicketIfOld方法實現

 

Request.IsAuthenticated能夠告訴咱們當前請求是否已通過身份驗證， 咱們來看一下這個屬性是如何實現

 

從代碼能夠看出，它的返回結果基本上來源於對Context.User的判斷。
另外，因爲User和Identity都是二個接口類型的屬性，所以，不一樣的實現方式對返回值也有影響。

因爲可能會常用HttpContext.User這個實例屬性，爲了讓它能正常使用， DefaultAuthenticationModule會在ASP.NET管線的PostAuthenticateRequest事件中檢查此屬性是否爲null，

若是它爲null，DefaultAuthenticationModule會給它一個默認的GenericPrincipal對象，此對象指示一個未登陸的用戶。

我認爲ASP.NET的身份認證的最核心部分其實就是HttpContext.User這個屬性所指向的對象。
爲了更好了理解Forms身份認證，我認爲本身從新實現User這個對象的接口會有較好的幫助。

 

實現自定義的身份認證標識

前面演示了最簡單的ASP.NET Forms身份認證的實現方法，即：直接調用SetAuthCookie方法。 不過調用這個方法，只能傳遞一個登陸名。

可是有時候爲了方便後續的請求處理，還須要保存一些與登陸名相關的額外信息。

雖然知道ASP.NET使用Cookie來保存登陸名狀態信息，咱們也能夠直接將前面所說的額外信息直接保存在Cookie中， 可是考慮安全性，咱們還須要設計一些加密方法，並且還須要考慮這些額外信息保存在哪裏才能方便使用， 並還要考慮隨登陸與註銷同步修改。

所以，實現這些操做仍是有點繁瑣的。

爲了保存與登陸名相關的額外的用戶信息，我認爲實現自定義的身份認證標識（HttpContext.User實例）是個容易的解決方法。
理解這個方法也會讓咱們對Forms身份認證有着更清楚地認識。

 

這個方法的核心是（分爲二個子過程）：
1. 在登陸時，建立自定義的FormsAuthenticationTicket對象，它包含了用戶信息。
2. 加密FormsAuthenticationTicket對象。
3. 建立登陸Cookie，它將包含FormsAuthenticationTicket對象加密後的結果。
4. 在管線的早期階段，讀取登陸Cookie，若是有，則解密。
5. 從解密後的FormsAuthenticationTicket對象中還原咱們保存的用戶信息。
6. 設置HttpContext.User爲咱們自定義的對象。

如今，咱們仍是來看一下HttpContext.User這個屬性的定義：

 

public IPrincipal User { get; set; }

因爲這個屬性只是個接口類型，所以，咱們也能夠本身實現這個接口。
考慮到更好的通用性：不一樣的項目可能要求接受不一樣的用戶信息類型。因此，我定義了一個泛型類。

 

這裏有必要再補充一下： 登陸狀態是有過時限制的。

Cookie有 有效期，FormsAuthenticationTicket對象也有 有效期。

這兩者任何一個過時時，都將致使登陸狀態無效。

按照默認設置，FormsAuthenticationModule將採用slidingExpiration=true的策略來處理FormsAuthenticationTicket過時問題。