ASP.NET MVC-设置自定义IIdentity或IPrincipal

650

我需要做一些相当简单的事情：在我的ASP.NET MVC应用程序中，我想设置一个自定义的IIdentity / IPrincipal。哪个更容易/更合适。我想扩展默认值，以便可以调用诸如User.Identity.Id和User.Identity.Role。没什么花哨的，只是一些额外的属性。

我读了无数的文章和问题，但是我觉得自己变得比实际困难。我以为会很容易。如果用户登录，我想设置一个自定义的IIdentity。所以我想，我会实施Application_PostAuthenticateRequest在global.asax中。但是，这是在每个请求上都调用的，我不想在每个请求上都对数据库进行调用，这会从数据库请求所有数据并将其放入自定义IPrincipal对象。这似乎也非常不必要，缓慢并且在错误的位置（在此处进行数据库调用），但我可能是错的。还是这些数据从哪里来？

因此，我认为，每当用户登录时，我都可以在会话中添加一些必要的变量，并将其添加到Application_PostAuthenticateRequest事件处理程序中的自定义IIdentity中。但是，我Context.Session在null那里，所以那也不是路。

我已经为此工作了一天，我感觉自己缺少一些东西。这应该不难做，对吧？我对与此附带的所有（半）相关的东西也感到困惑。MembershipProvider，MembershipUser，RoleProvider，ProfileProvider，IPrincipal，IIdentity，FormsAuthentication...。我是唯一一个谁发现这一切非常混乱？

如果有人可以告诉我一个简单，优雅，有效的解决方案，以在IIdentity上存储一些额外的数据而又不引起任何额外的麻烦，那就太好了！我知道在SO上也有类似的问题，但是如果我需要的答案在那里，我一定会忽略。

— 拉齐
source

1

嗨Domi，这是仅存储永不更改的数据（例如用户ID）或在用户更改必须立即反映在Cookie中的数据之后立即更新cookie的组合。如果用户这样做，我只需用新数据更新cookie。但是，我尽量不存储经常更改的数据。

— 拉齐

26

这个问题有36k的观点，并且有很多赞成意见。这真的是常见的要求吗？如果是，是否有比所有这些“自定义内容”更好的方法？

— Simon_Weaver

2

@Simon_Weaver有ASP.NET Identity知道，它可以更轻松地支持加密cookie中的其他自定义信息。

— 约翰

1

我同意你的看法，还有就是很多信息，如您发布：MemberShip...，Principal，Identity。ASP.NET应该使这种更轻松，更简单的方式以及最多两种用于身份验证的方法。

— 宽带

1

@Simon_Weaver这清楚地表明了对更简单，更灵活的身份系统IMHO的需求。

— niico

838

这是我的方法。

我决定使用IPrincipal代替IIdentity，因为这意味着我不必同时实现IIdentity和IPrincipal。

创建界面

interface ICustomPrincipal : IPrincipal
{
    int Id { get; set; }
    string FirstName { get; set; }
    string LastName { get; set; }
}

海关负责人

public class CustomPrincipal : ICustomPrincipal
{
    public IIdentity Identity { get; private set; }
    public bool IsInRole(string role) { return false; }

    public CustomPrincipal(string email)
    {
        this.Identity = new GenericIdentity(email);
    }

    public int Id { get; set; }
    public string FirstName { get; set; }
    public string LastName { get; set; }
}

CustomPrincipalSerializeModel-用于将自定义信息序列化为FormsAuthenticationTicket对象的userdata字段。

public class CustomPrincipalSerializeModel
{
    public int Id { get; set; }
    public string FirstName { get; set; }
    public string LastName { get; set; }
}

登录方法-使用自定义信息设置Cookie

if (Membership.ValidateUser(viewModel.Email, viewModel.Password))
{
    var user = userRepository.Users.Where(u => u.Email == viewModel.Email).First();

    CustomPrincipalSerializeModel serializeModel = new CustomPrincipalSerializeModel();
    serializeModel.Id = user.Id;
    serializeModel.FirstName = user.FirstName;
    serializeModel.LastName = user.LastName;

    JavaScriptSerializer serializer = new JavaScriptSerializer();

    string userData = serializer.Serialize(serializeModel);

    FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
             1,
             viewModel.Email,
             DateTime.Now,
             DateTime.Now.AddMinutes(15),
             false,
             userData);

    string encTicket = FormsAuthentication.Encrypt(authTicket);
    HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
    Response.Cookies.Add(faCookie);

    return RedirectToAction("Index", "Home");
}

Global.asax.cs-读取cookie并替换HttpContext.User对象，这是通过覆盖PostAuthenticateRequest来完成的

protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

    if (authCookie != null)
    {
        FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

        JavaScriptSerializer serializer = new JavaScriptSerializer();

        CustomPrincipalSerializeModel serializeModel = serializer.Deserialize<CustomPrincipalSerializeModel>(authTicket.UserData);

        CustomPrincipal newUser = new CustomPrincipal(authTicket.Name);
        newUser.Id = serializeModel.Id;
        newUser.FirstName = serializeModel.FirstName;
        newUser.LastName = serializeModel.LastName;

        HttpContext.Current.User = newUser;
    }
}

在Razor视图中访问

@((User as CustomPrincipal).Id)
@((User as CustomPrincipal).FirstName)
@((User as CustomPrincipal).LastName)

并在代码中：

    (User as CustomPrincipal).Id
    (User as CustomPrincipal).FirstName
    (User as CustomPrincipal).LastName

我认为代码是不言自明的。如果不是，请告诉我。

另外，为了使访问更加轻松，您可以创建一个基本控制器并覆盖返回的User对象（HttpContext.User）：

public class BaseController : Controller
{
    protected virtual new CustomPrincipal User
    {
        get { return HttpContext.User as CustomPrincipal; }
    }
}

然后，对于每个控制器：

public class AccountController : BaseController
{
    // ...
}

这样您就可以在代码中访问自定义字段，如下所示：

User.Id
User.FirstName
User.LastName

但这在视图内部是行不通的。为此，您需要创建一个自定义WebViewPage实现：

public abstract class BaseViewPage : WebViewPage
{
    public virtual new CustomPrincipal User
    {
        get { return base.User as CustomPrincipal; }
    }
}

public abstract class BaseViewPage<TModel> : WebViewPage<TModel>
{
    public virtual new CustomPrincipal User
    {
        get { return base.User as CustomPrincipal; }
    }
}

在Views / web.config中将其设为默认页面类型：

<pages pageBaseType="Your.Namespace.BaseViewPage">
  <namespaces>
    <add namespace="System.Web.Mvc" />
    <add namespace="System.Web.Mvc.Ajax" />
    <add namespace="System.Web.Mvc.Html" />
    <add namespace="System.Web.Routing" />
  </namespaces>
</pages>

在视图中，您可以像这样访问它：

@User.FirstName
@User.LastName

— 卢克
source

9

很好的实现；当心RoleManagerModule，将您的自定义主体替换为RolePrincipal。这给我带来了很多的痛苦- stackoverflow.com/questions/10742259/...

— 大卫Keaveny

9

好的，我找到了解决方案，只需添加一个其他开关，该开关将通过“”（空字符串）作为电子邮件，并且身份将是匿名的。

— Pierre-Alain Vigeant 2012年

3

DateTime.Now.AddMinutes（N）...如何使它在N分钟后不注销用户，登录的用户是否可以保留（例如，当用户选中“ Remember Me”时）？

— 2012年

4

如果您使用的是WebApiController，你将需要设置Thread.CurrentPrincipal在Application_PostAuthenticateRequest它的工作，因为它不依赖于HttpContext.Current.User

— 乔纳森·利维森

3

@AbhinavGujjar FormsAuthentication.SignOut();对我来说很好。

— LukeP 2014年

109

我不能直接说ASP.NET MVC，但是对于ASP.NET Web窗体，诀窍是创建一个 FormsAuthenticationTicket在用户通过身份验证后并将其加密为cookie。这样，您只需要调用一次数据库（或AD或用于执行身份验证的任何内容），随后的每个请求都将基于cookie中存储的票证进行身份验证。

一篇很好的文章：~~http~~ : ~~//www.ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html~~（链接断开）

编辑：

由于上面的链接已断开，因此我会在上面的回答中推荐LukeP的解决方案：https ://stackoverflow.com/a/10524305我也建议将接受的答案更改为该答案。

编辑2： 断开链接的替代方法：https : //web.archive.org/web/20120422011422/http : //ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html

— 约翰·拉施
source

来自PHP，我一直将诸如UserID之类的信息以及授予受限访问权限所需的其他信息放在Session中。在客户端存储它使我感到紧张，您能否评论为什么这不会成为问题？

— John Zumbrum

@JohnZ-在通过有线发送票证之前，票证本身已在服务器上进行了加密，因此，这并不意味着客户端可以访问票证中存储的数据。请注意，会话ID也存储在cookie中，因此并没有什么不同。

— 约翰·拉施（John Rasch）2012年

3

如果您在这里，请查看LukeP的解决方案

— Mynkow

2

我一直担心这种方法可能会超出最大cookie大小（stackoverflow.com/questions/8706924/…）。我倾向于使用Cache作为Session替代，以保持服务器上的数据。谁能告诉我这是否有缺陷？

— Red Taz

2

好的方法。一个潜在的问题是，如果您的用户对象具有多个属性（尤其是如果有任何嵌套对象），则一旦加密值超过4KB（创建起来容易得多，您可能会想），创建cookie就会无声地失败。如果您只存储关键数据，那很好，但是其余的则必须使数据库保持静止。另一个考虑因素是，当用户对象具有签名或逻辑更改时，“升级” cookie数据。

— Geoffrey Hudik 2013年

63

这是完成工作的示例。bool isValid是通过查看一些数据存储来设置的（假设您的用户数据库为）。UserID只是我正在维护的ID。您可以将其他信息（例如电子邮件地址）添加到用户数据。

protected void btnLogin_Click(object sender, EventArgs e)
{         
    //Hard Coded for the moment
    bool isValid=true;
    if (isValid) 
    {
         string userData = String.Empty;
         userData = userData + "UserID=" + userID;
         FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, username, DateTime.Now, DateTime.Now.AddMinutes(30), true, userData);
         string encTicket = FormsAuthentication.Encrypt(ticket);
         HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
         Response.Cookies.Add(faCookie);
         //And send the user where they were heading
         string redirectUrl = FormsAuthentication.GetRedirectUrl(username, false);
         Response.Redirect(redirectUrl);
     }
}

在golbal asax中添加以下代码以检索您的信息

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[
             FormsAuthentication.FormsCookieName];
    if(authCookie != null)
    {
        //Extract the forms authentication cookie
        FormsAuthenticationTicket authTicket = 
               FormsAuthentication.Decrypt(authCookie.Value);
        // Create an Identity object
        //CustomIdentity implements System.Web.Security.IIdentity
        CustomIdentity id = GetUserIdentity(authTicket.Name);
        //CustomPrincipal implements System.Web.Security.IPrincipal
        CustomPrincipal newUser = new CustomPrincipal();
        Context.User = newUser;
    }
}

以后要使用这些信息时，可以按以下方式访问自定义主体。

(CustomPrincipal)this.User
or 
(CustomPrincipal)this.Context.User

这将允许您访问自定义用户信息。

— 斯里万塔·阿塔那耶克
source

2

仅供参考-这是Request.Cookies []（复数）

— 丹·埃斯帕萨2010年

10

不要忘记将Thread.CurrentPrincipal以及Context.User设置为CustomPrincipal。

— Russ Cam 2010年

6

GetUserIdentity（）来自哪里？

— 瑞安

正如我在评论中提到的那样，它提供了System.Web.Security.IIdentity的实现。Google关于该界面的信息

— Sriwantha Attanayake 2012年

16

MVC为您提供了挂在控制器类上的OnAuthorize方法。或者，您可以使用自定义操作过滤器执行授权。MVC使它非常容易实现。我在这里发布了有关此内容的博客文章。http://www.bradygaster.com/post/custom-authentication-with-mvc-3.0

— 布雷迪·加斯特
source

但是会话可能会丢失，并且用户仍会进行身份验证。不是吗

— Dragouf

@brady gaster，我读了您的博客文章（谢谢！），为什么有人会在其他人提到的global.asax条目“ ... AuthenticateRequest（..）”上使用您的文章中提到的重写“ OnAuthorize（）”答案？在设置主要用户时，一个相对于另一个优先吗？

— RayLoveless

10

如果您需要将某些方法连接到@User以便在视图中使用，这是一个解决方案。没有任何针对严重的成员资格自定义的解决方案，但是如果仅对于视图需要原始问题，那么这也许就足够了。以下用于检查从authorizefilter返回的变量，用于验证是否在此处显示某些链接（不适用于任何类型的授权逻辑或访问授权）。

using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Web;
    using System.Security.Principal;

    namespace SomeSite.Web.Helpers
    {
        public static class UserHelpers
        {
            public static bool IsEditor(this IPrincipal user)
            {
                return null; //Do some stuff
            }
        }
    }

然后只需在web.config区域中添加引用，然后在视图中按如下所示进行调用。

@User.IsEditor()

— 基础
source

1

在您的解决方案中，我们再次需要每次都进行数据库调用。因为用户对象没有自定义属性。它只有名称和IsAuthanticated

— oneNiceFriend '16

这完全取决于您的实现和所需的行为。我的样本包含0行数据库或角色逻辑。我相信，如果使用IsInRole，则可以将其缓存在cookie中。或者，您实现自己的缓存逻辑。

— 2016年

3

基于LukeP的答案，并添加了一些方法来设置timeout和requireSSL配合Web.config。

参考链接

LukeP的修改代码

1，timeout根据进行设置Web.Config。该FormsAuthentication.Timeout将得到的超时值，这是在web.config中定义。我将以下内容包装为一个函数，该函数返回一个ticket后退。

int version = 1;
DateTime now = DateTime.Now;

// respect to the `timeout` in Web.config.
TimeSpan timeout = FormsAuthentication.Timeout;
DateTime expire = now.Add(timeout);
bool isPersist = false;

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
     version,          
     name,
     now,
     expire,
     isPersist,
     userData);

2，根据配置将cookie配置为安全或不安全RequireSSL。

HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
// respect to `RequreSSL` in `Web.Config`
bool bSSL = FormsAuthentication.RequireSSL;
faCookie.Secure = bSSL;

— 刘爱乔
source

3

好的，因此，通过拖动这个非常老的问题，我是一位认真的密码管理者，但是有一个更简单的方法，上面的@Baserz对此进行了介绍。那就是结合使用C＃扩展方法和缓存（不要使用会话）。

实际上，Microsoft已经在Microsoft.AspNet.Identity.IdentityExtensions名称空间中提供了许多此类扩展。例如，GetUserId()是一个扩展方法，它返回用户ID。还有GetUserName()和FindFirstValue()，该返回基于IPrincipal的索偿。

因此，您只需要包含名称空间，然后调用User.Identity.GetUserName()即可获取由ASP.NET Identity配置的用户名。

我不确定是否将其缓存，因为较旧的ASP.NET Identity不是开源的，而且我也没有费心对其进行反向工程。但是，如果不是这样，则可以编写自己的扩展方法，该方法将在特定时间内缓存此结果。

— 埃里克·冯肯布施
source

为什么“不使用会话”？

— 亚历克斯（Alex）

@jitbit-因为会话不可靠且不安全。出于同样的原因，请勿出于安全目的使用会话。

— Erik Funkenbusch

可以通过重新填充会话（如果为空）来解决“不可靠”问题。“不安全”-有防止会话劫持的方法（通过使用仅HTTPS和其他方法）。但我实际上同意你的看法。那你会在哪里缓存它？信息IsUserAdministrator或类似信息UserEmail？你在想HttpRuntime.Cache什么？

— Alex

@jitbit-这是一个选项，如果有，则是另一种缓存解决方案。确保一段时间后使缓存条目到期。不安全性也适用于本地系统，因为您可以手动更改cookie并猜测会话ID。中间的人并不是唯一的问题。

— Erik Funkenbusch

2

如果要简化页面后面代码中的访问，作为Web窗体用户（不是MVC）用户的LukeP代码的补充，只需将下面的代码添加到基本页面中，然后在所有页面中派生基本页面：

Public Overridable Shadows ReadOnly Property User() As CustomPrincipal
    Get
        Return DirectCast(MyBase.User, CustomPrincipal)
    End Get
End Property

因此，在后面的代码中，您可以轻松访问：

User.FirstName or User.LastName

在Web窗体方案中，我缺少的是如何在未绑定到页面的代码中获得相同的行为，例如在httpmodules中，我应该始终在每个类中添加类型转换，还是有一种更聪明的方式来获取此行为？

谢谢您的回答，谢谢给LukeP，因为我用你的例子作为我的自定义用户基地（现在有User.Roles，User.Tasks，User.HasPath(int)，User.Settings.Timeout和许多其他的好东西）

— 威力
source

0

我尝试了LukeP建议的解决方案，发现它不支持Authorize属性。因此，我对其进行了一些修改。

public class UserExBusinessInfo
{
    public int BusinessID { get; set; }
    public string Name { get; set; }
}

public class UserExInfo
{
    public IEnumerable<UserExBusinessInfo> BusinessInfo { get; set; }
    public int? CurrentBusinessID { get; set; }
}

public class PrincipalEx : ClaimsPrincipal
{
    private readonly UserExInfo userExInfo;
    public UserExInfo UserExInfo => userExInfo;

    public PrincipalEx(IPrincipal baseModel, UserExInfo userExInfo)
        : base(baseModel)
    {
        this.userExInfo = userExInfo;
    }
}

public class PrincipalExSerializeModel
{
    public UserExInfo UserExInfo { get; set; }
}

public static class IPrincipalHelpers
{
    public static UserExInfo ExInfo(this IPrincipal @this) => (@this as PrincipalEx)?.UserExInfo;
}


    [HttpPost]
    [AllowAnonymous]
    [ValidateAntiForgeryToken]
    public async Task<ActionResult> Login(LoginModel details, string returnUrl)
    {
        if (ModelState.IsValid)
        {
            AppUser user = await UserManager.FindAsync(details.Name, details.Password);

            if (user == null)
            {
                ModelState.AddModelError("", "Invalid name or password.");
            }
            else
            {
                ClaimsIdentity ident = await UserManager.CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie);
                AuthManager.SignOut();
                AuthManager.SignIn(new AuthenticationProperties { IsPersistent = false }, ident);

                user.LastLoginDate = DateTime.UtcNow;
                await UserManager.UpdateAsync(user);

                PrincipalExSerializeModel serializeModel = new PrincipalExSerializeModel();
                serializeModel.UserExInfo = new UserExInfo()
                {
                    BusinessInfo = await
                        db.Businesses
                        .Where(b => user.Id.Equals(b.AspNetUserID))
                        .Select(b => new UserExBusinessInfo { BusinessID = b.BusinessID, Name = b.Name })
                        .ToListAsync()
                };

                JavaScriptSerializer serializer = new JavaScriptSerializer();

                string userData = serializer.Serialize(serializeModel);

                FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
                         1,
                         details.Name,
                         DateTime.Now,
                         DateTime.Now.AddMinutes(15),
                         false,
                         userData);

                string encTicket = FormsAuthentication.Encrypt(authTicket);
                HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
                Response.Cookies.Add(faCookie);

                return RedirectToLocal(returnUrl);
            }
        }
        return View(details);
    }

最后在Global.asax.cs中

    protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
    {
        HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

        if (authCookie != null)
        {
            FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);
            JavaScriptSerializer serializer = new JavaScriptSerializer();
            PrincipalExSerializeModel serializeModel = serializer.Deserialize<PrincipalExSerializeModel>(authTicket.UserData);
            PrincipalEx newUser = new PrincipalEx(HttpContext.Current.User, serializeModel.UserExInfo);
            HttpContext.Current.User = newUser;
        }
    }

现在，只需调用以下命令，即可访问视图和控制器中的数据

User.ExInfo()

要登出我只是打电话

AuthManager.SignOut();

AuthManager在哪里

HttpContext.GetOwinContext().Authentication

— 瓦西里·伊万诺夫（Vasily Ivanov）
source