ASP.NET MVC 2 - Fournisseur d'appartenances - ValidateUser() - retourne le login message d'erreur

Comment puis-je retourner un message de chaîne à partir de la méthode ValidateUser à mon fournisseur d'appartenances personnalisé? J'ai besoin de cela parce que je veux effectuer plusieurs contrôles (utilisateur est approuvé, l'utilisateur est bloqué, etc.) et donner à l'utilisateur une bonne description, si le processus d'ouverture de session échoue.

Une option serait de lancer une exception, mais quelqu'un a dit que ce n'est pas un moyen approprié pour le traitement de telles situations.

Pour l'instant, je peux seulement dire "échec de la Connexion" ou "Connexion réussie" en raison de l'bool type de retour.

Est-il possible de créer ma propre méthode ValidateUser ou ne l'ASP.NET l'Adhésion mécanisme utilise celui par défaut dans les opérations internes?

Ce n'est pas une bonne idée de déclarer un lock-out dans une application web, quelqu'un essayer un mot de passe par force brute attaque en savoir arrêter et d'attendre plutôt que de porter sur, et potentiellement présenter le bon mot de passe pour un compte verrouillé et donc à défaut d'y avoir accès. Juste une pensée pour vous.
Merci pour l'astuce de Lazare.
C'est un manque à gagner de la MembershipProvider. ValidateUser() renvoie un booléen, vous laissant avec de MAUVAISES options. 1) actualiser la base de données pour plus d'informations (frais généraux), 2) ajouter des méthodes et jeter votre fournisseur (rupture de l'indépendance), ou 3) un groupe témoin de fonctionnement. MS devrait mettre à jour le fournisseur. Ce serait formidable si ValidateUser retourné, au minimum, et enum AuthenticationStatuts comme CreateUser() renvoie un MembershipCreateStatus enum. Bien, je voudrais voir quelque chose d'un peu plus que même les MembershipCreateStatus enum est limité (forums.asp.net/t/1521981.aspx).

OriginalL'auteur Cosmo | 2010-03-03

2

Ceux sont deux opérations différentes.

Pour voir si un utilisateur est approuvé, lock-out, etc., rechercher l'utilisateur (avec GetUser()) et regardez le IsApproved, IsLockedOut, etc. propriétés de l'utilisateur retourné. ValidateUser() est uniquement pour la connexion, mais vous pouvez faire les deux.

Merci Craig. Donc tu veux dire que je doit d'abord valider l'utilisateur (nom d'utilisateur, mot de passe), puis si l'enregistrement existe vérifier si l'utilisateur est verrouillé, approuvé etc. et puis définissez le cookie d'authentification? Suis-je le droit? La deuxième question. Je suis en utilisant une mesure RegUser objet (pas MembershipUser). Dois-je créer des méthodes de mon fournisseur d'appartenances comme GetRegUser afin de vérifier mes attributs personnalisés?
Je pense que je serais sous-type MembershipUser plutôt que de le remplacer, mais avant de le faire, la note (1) il existe déjà de biens destinés à être spécifiques à l'application les données de msdn.microsoft.com/en-us/library/... et (2) spécifiques à l'application les infos de l'utilisateur est souvent mieux adapté pour l'Identité que sur une adhésion de l'utilisateur. L'adhésion des utilisateurs vraiment juste dire que vous pouvez obtenir dans. L'identité dit qui vous êtes.
Oh, et c'est sans doute évident, mais vous avez seulement besoin de regarder pour l'utilisateur si la connexion échoue. Si elle réussit, elle doit être approuvée, et ne peut pas être verrouillé.
"Si elle réussit, elle doit être approuvée, et ne peut pas être verrouillé" - à la suite de cela, suis-je en droit que le cookie d'authentification doivent être définis uniquement après vérification de ValidateUser et les autres propriétés (verrouillé, approuvé...)? Je veux dire: (nom d'utilisateur, Mot de passe) -> ValidateUser() -> GetUser().IsApproved -> GetUser().IsLockedOut -> SetAuthCookie(). Est-ce l'ordre correct?
réitérer ce que craig a - Si un utilisateur est verrouillé ou non approuvée, la validation sera de retour faux. Seulement si vous avez mis en œuvre un fournisseur personnalisé ou hérité d'un fournisseur et souhaitez réagir à différentes raisons, dire de faire passer un message à la page, auriez-vous besoin pour vérifier la IsXXX propriétés.

OriginalL'auteur Craig Stuntz

Vous peut mettre en œuvre tout les méthodes que vous souhaitez sur votre fournisseur personnalisé, et dans votre cas, il pourrait du bon sens et de jeter l'Adhésion à votre type avant de l'utiliser.

Mais rupture de l'interface pour obtenir un peu simple de bande info peut revenir à vous mordre dans le futur. Il y a d'autres façons de le faire et de préserver l'api fournisseur et de garder votre avenir options ouvertes.

Dans le passé, j'ai utilisé un cookie pour pass out-of-band info comme celle d'un fournisseur au consommateur.

La HttpContext.Le courant est le même pour le fournisseur que pour la page de sorte qu'un cookie défini dans le fournisseur peut être lu à la consommation.

Assurez-vous juste que vous supprimer le cookie après l'appel de votre fournisseur. La création d'un témoin transitoire permet de minimiser les erreurs, mais il suffit de retirer de la collecte, de toute façon.

Ici est un exemple.

CookieChannelMembershipProvider

using System;
using System.Web;
using System.Web.Security;
namespace CookieChannel
{
public class CookieChannelMembershipProvider : MembershipProvider
{
public override bool ValidateUser(string username, string password)
{
if(username=="asshat")
{
HttpContext.Current.Request.Cookies.Add(new HttpCookie("__cookiechannel", "user is an asshat. do not let him in."));
return false;
}
return true;
}
#region Not implemented
public override bool EnablePasswordRetrieval
{
get { throw new NotImplementedException(); }
}
public override bool EnablePasswordReset
{
get { throw new NotImplementedException(); }
}
public override bool RequiresQuestionAndAnswer
{
get { throw new NotImplementedException(); }
}
public override string ApplicationName
{
get { throw new NotImplementedException(); }
set { throw new NotImplementedException(); }
}
public override int MaxInvalidPasswordAttempts
{
get { throw new NotImplementedException(); }
}
public override int PasswordAttemptWindow
{
get { throw new NotImplementedException(); }
}
public override bool RequiresUniqueEmail
{
get { throw new NotImplementedException(); }
}
public override MembershipPasswordFormat PasswordFormat
{
get { throw new NotImplementedException(); }
}
public override int MinRequiredPasswordLength
{
get { throw new NotImplementedException(); }
}
public override int MinRequiredNonAlphanumericCharacters
{
get { throw new NotImplementedException(); }
}
public override string PasswordStrengthRegularExpression
{
get { throw new NotImplementedException(); }
}
public override MembershipUser CreateUser(string username, string password, string email,
string passwordQuestion, string passwordAnswer, bool isApproved,
object providerUserKey, out MembershipCreateStatus status)
{
throw new NotImplementedException();
}
public override bool ChangePasswordQuestionAndAnswer(string username, string password,
string newPasswordQuestion, string newPasswordAnswer)
{
throw new NotImplementedException();
}
public override string GetPassword(string username, string answer)
{
throw new NotImplementedException();
}
public override bool ChangePassword(string username, string oldPassword, string newPassword)
{
throw new NotImplementedException();
}
public override string ResetPassword(string username, string answer)
{
throw new NotImplementedException();
}
public override void UpdateUser(MembershipUser user)
{
throw new NotImplementedException();
}
public override bool UnlockUser(string userName)
{
throw new NotImplementedException();
}
public override MembershipUser GetUser(object providerUserKey, bool userIsOnline)
{
throw new NotImplementedException();
}
public override MembershipUser GetUser(string username, bool userIsOnline)
{
throw new NotImplementedException();
}
public override string GetUserNameByEmail(string email)
{
throw new NotImplementedException();
}
public override bool DeleteUser(string username, bool deleteAllRelatedData)
{
throw new NotImplementedException();
}
public override MembershipUserCollection GetAllUsers(int pageIndex, int pageSize, out int totalRecords)
{
throw new NotImplementedException();
}
public override int GetNumberOfUsersOnline()
{
throw new NotImplementedException();
}
public override MembershipUserCollection FindUsersByName(string usernameToMatch, int pageIndex, int pageSize,
out int totalRecords)
{
throw new NotImplementedException();
}
public override MembershipUserCollection FindUsersByEmail(string emailToMatch, int pageIndex, int pageSize,
out int totalRecords)
{
throw new NotImplementedException();
} 
#endregion
}
}

Web.config

<?xml version="1.0"?>
<configuration>
<system.web>
<compilation debug="true"/>
<authentication mode="Windows" />
<membership defaultProvider="cookieChannelProvider" userIsOnlineTimeWindow="15">
<providers>
<add
name="cookieChannelProvider"
type="CookieChannel.CookieChannelMembershipProvider, CookieChannel"
connectionStringName="none"
enablePasswordRetrieval="true"
enablePasswordReset="true"
requiresQuestionAndAnswer="true"
/>
</providers>
</membership>
</system.web>
</configuration>

Par défaut.aspx

<%@ Page Language="C#" %>
<script runat="server">
protected void Button1_Click(object sender, EventArgs e)
{
ValidateUser("user", "user");
}
protected void Button2_Click(object sender, EventArgs e)
{
ValidateUser("asshat", "asshat");
}
private void ValidateUser(string username, string password)
{
bool validated = Membership.ValidateUser(username, password);
string message = validated.ToString();
if (Request.Cookies["__cookiechannel"] != null)
{
message += ":" + Request.Cookies["__cookiechannel"].Value;
Request.Cookies.Remove("__cookiechannel");
}
Label1.Text = message;
}
</script>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title></title>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:Button ID="Button1" runat="server" onclick="Button1_Click" 
Text="Validate Valued User" />
<asp:Button ID="Button2" runat="server" onclick="Button2_Click" 
Text="Validate Asshat User" />
</div>
<asp:Label ID="Label1" runat="server" Text="Label"></asp:Label>
</form>
</body>
</html>

OriginalL'auteur Sky Sanders

0

Vous devez créer votre propre mécanisme; cela n'arrive pas par défaut et ne peut pas être fait avec l'appartenance intégré de fournisseur. Vous pouvez rassembler que fournisseur et ajouter cette méthode et faire vous-même... c'est une option. Mais alors, cela ne fonctionne pas en ligne avec le contrôle de connexion si vous l'utilisez.

Merci Brian, je ne suis pas en utilisant la connexion de contrôle. Cela serait certainement une option.

OriginalL'auteur Brian Mains

Vous devez vous connecter pour publier un commentaire.