当前位置:编程学习 > asp >>

关于ASP.NET MVC中Form Authentication与Windows Authentication的简单理解

一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token.

 

一般企业内部的应用,企业内部信息系统,使用Windows Auhentication. 因为企业内部都有自己的域,员工的电脑都有这个域内部的一个ID,而且这个ID是唯一的,所有的操作都会通过这个ID进行。企业内部的信息系统是不需要用户注册的,用的都是这个ID,所以,使用Windows Authentication. 但是需要注意的是,FormAuthentication.SetAuthCookie()往往写入的都是很简单的字段,一般是username, 而真正系统中的User实体是一个很复杂的对象,有很多信息,所以,每次当用户进入这个系统后,程序会根据用户的ID或者username,找到数据库中对应的详细的User对象,然后放到Session中。一般这些操作是在Global.asax.cs中的Session_Start()中进行的。


 

protected void Session_Start(object sender, EventArgs e) 
{ 
    var securityHelper = new SecurityHelper(); 
    securityHelper.Authenticate(); 
} 
 
public class SecurityHelper 
{ 
 
    private string GetWindowsVcnUserName() 
    { 
        // Get windows user  
        var loggedUser = System.Web.HttpContext.Current.User.Identity; 
 
        if (loggedUser != null) 
        { 
            string username = loggedUser.Name; 
            username = username.Substring(username.IndexOf('\\') + 1); 
            username = username.ToUpper(); 
 
            return username; 
        } 
        return null; 
    } 
 
    public virtual bool Authenticate() 
    { 
        // Inject implementation of the UserService through DI  
        if (UserService == null) 
        { 
            UserService = Container.Resolve<UserService>(); 
        } 
 
        string userLoggin = GetWindowsVcnUserName(); 
 
        // Get user from external authorization system  
        var user = UserService.GetUser(userLoggin); 
        if (user == null) 
        { 
            //说明数据库中没有这个用户,此时可以根据需要设定相应的逻辑,可以提示该用户不能访问此系统,也可以为此用户建立一个Guset账号,根据需要而定  
        } 
 
        // Set session   
        System.Web.HttpContext.Session.Add("user", user); 
        return true; 
    } 
} 

protected void Session_Start(object sender, EventArgs e)
{
    var securityHelper = new SecurityHelper();
    securityHelper.Authenticate();
}

public class SecurityHelper
{

    private string GetWindowsVcnUserName()
    {
        // Get windows user
        var loggedUser = System.Web.HttpContext.Current.User.Identity;

        if (loggedUser != null)
        {
            string username = loggedUser.Name;
            username = username.Substring(username.IndexOf('\\') + 1);
            username = username.ToUpper();

            return username;
        }
        return null;
    }

    public virtual bool Authenticate()
    {
        // Inject implementation of the UserService through DI
        if (UserService == null)
        {
            UserService = Container.Resolve<UserService>();
        }

        string userLoggin = GetWindowsVcnUserName();

        // Get user from external authorization system
        var user = UserService.GetUser(userLoggin);
        if (user == null)
        {
            //说明数据库中没有这个用户,此时可以根据需要设定相应的逻辑,可以提示该用户不能访问此系统,也可以为此用户建立一个Guset账号,根据需要而定
        }

        // Set session
        System.Web.HttpContext.Session.Add("user", user);
        return true;
    }
}

此后,在该Session生存周期内,需要User信息的时候,只要从Session中拿就可以了,因为Session中有一个详细的User对象

补充:Web开发 , ASP.Net ,
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,