ASP.NET MVC Formes d'Authentification + Autoriser Attribut + Simple Rôles

Je suis en train d'ajouter simple d'Authentification et d'Autorisation pour un ASP.NET application MVC.

Je suis juste en train de virer de bord sur certaines des fonctionnalités ajoutées à la base de l'Authentification de Formulaires (en raison de la simplicité et de la coutume structure de base de données)

En supposant que c'est ma structure de base de données:
Utilisateur:
nom d'utilisateur
mot de passe
rôle (idéalement, certains enum. Des chaînes en cas de besoin. Actuellement, l'utilisateur n'a qu'UN seul rôle, mais cela peut changer)

Niveau Élevé Problème:
C'est ainsi que la structure de base de données, je voudrais être en mesure de faire ce qui suit:

Simple Connexion utilisant l'Authentification par Formulaires
Décorer mes actions avec:
[Autoriser(Rôles={ MyRoles.Admin, MyRoles.Membre})]
Utilisez les rôles de mon point de Vue (à déterminer les liens à afficher dans certains partiels)

Actuellement, tout ce que je suis vraiment sûr, c'est comment Authentifier. Après que je suis perdu. Je ne suis pas sûr à quel point dois-je saisir le rôle de l'utilisateur (login, chaque autorisation?). Depuis mes rôles ne peuvent pas être des chaînes de caractères, je ne suis pas sûr de savoir comment ils s'intégreront à l'Utilisateur.IsInRole().

Maintenant, je pose la question ici car je n'ai pas trouvé un "simple" accomplir ce dont j'ai besoin. J'ai vu plusieurs exemples.

Pour L'Authentification:

Nous avons simple validation de l'utilisateur qui consulte la base de données et "SetAuthCookie"
Ou nous remplacer le fournisseur d'appartenances et de le faire à l'intérieur de ValidateUser
Dans l'un ou l'autre, je ne suis pas sûr de la façon de virer de bord sur mon simple des Rôles d'utilisateur, de sorte qu'ils travaillent avec l':
HttpContext.Actuel.De l'utilisateur.IsInRole("L'Administrateur")
En outre, je ne suis pas sûr de savoir comment le modifier pour travailler avec mes valeurs enum.

Pour l'Autorisation, j'ai vu:

Découlant AuthorizeAttribute et la mise en œuvre de AuthorizeCore OU OnAuthorization pour gérer les rôles?
La Mise En Œuvre De IPrincipal?

Toute aide serait grandement appréciée. Cependant, j'ai peur de besoin de beaucoup de détails, parce que rien de ce que j'ai Googlé semble correspondre avec ce que je dois faire.

InformationsquelleAutor Kevin | 2009-09-06

8

Construire une coutume AuthorizeAttribute qui peuvent utiliser votre enums plutôt que des chaînes de caractères. Lorsque vous avez besoin d'autoriser, de convertir les énumérations dans les chaînes en ajoutant le type enum nom + la valeur d'énumération et de l'utilisation de la IsInRole à partir de là.

Pour ajouter des rôles à un utilisateur autorisé, vous devrez joindre à la HttpApplication AuthenticateRequest événement quelque chose comme le premier code en http://www.eggheadcafe.com/articles/20020906.asp ( mais d'inverser la massivement instructions if imbriquées dans la garde des clauses!).

Vous pouvez aller-retour, les utilisateurs des rôles dans les formes auth cookies ou de les saisir à partir de la base de données à chaque fois.
- En fait, c'est exactement ce que j'ai fait. J'ai finalement réalisé que vous ne pouvez pas obtenir autour de la Chaîne chose si vous utilisez IsInRole. Si je pouvais avoir mon enums tout au long de ma Contrôleurs, mais si jamais j'ai besoin de vérifier les Rôles dans la vue, je suis coincé avec IsInRole... Merci
- Le facteur de l'enum -> conversion de chaîne de caractères à partir de l'attribut dans un helper, utilisez l'aide de l'attribut et de créer un helper html de la méthode d'extension IsUserInRole qui utilise également l'aide, mais est facilement accessible à partir de la vue.
- Aussi l'une des options est d'utiliser une classe avec des propriétés de la chaîne pour les rôles. public static class MyRoles { public const string Viewer = "Viewer"; ..etc.. }. Ensuite, vous pouvez ajouter des méthodes comme GetAll(), GetDefault() et appelez le rôle comme [Authorize(Roles=MyRoles.Viewer)].
InformationsquelleAutor Neal

118

Je pense que j'ai mis en place quelque chose de similaire.

Ma solution, basée sur NerdDinner tutoriel, est la suivante.

Lorsque vous vous connectez à l'utilisateur dans, ajoutez le code comme ceci:

var authTicket = new FormsAuthenticationTicket(
    1,                             //version
    userName,                      //user name
    DateTime.Now,                  //created
    DateTime.Now.AddMinutes(20),   //expires
    rememberMe,                    //persistent?
    "Moderator;Admin"                        //can be used to store roles
    );

string encryptedTicket = FormsAuthentication.Encrypt(authTicket);

var authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
HttpContext.Current.Response.Cookies.Add(authCookie);

Ajoutez le code suivant à Global.asax.cs:

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName];
    if (authCookie == null || authCookie.Value == "")
        return;

    FormsAuthenticationTicket authTicket;
    try
    {
        authTicket = FormsAuthentication.Decrypt(authCookie.Value);
    }
    catch
    {
        return;
    }

    //retrieve roles from UserData
    string[] roles = authTicket.UserData.Split(';');

    if (Context.User != null)
        Context.User = new GenericPrincipal(Context.User.Identity, roles);
}

Après vous avez fait cela, vous pouvez utilisation [Autoriser] attribut dans votre contrôleur de code action:

[Authorize(Roles="Admin")]
public ActionResult AdminIndex ()

S'il vous plaît laissez-moi savoir si vous avez d'autres questions.

Si cela ne fonctionne pas pour vous, il suffit d'ajouter ce <appSettings> <add key="enableSimpleMembership" value="false" /> </appSettings> dans le Web.config.
Juste ce que je cherchais! Merci
J'ai essayé mais ce Contexte.L'utilisateur a toujours la valeur null pour moi. Peut-être que j'ai besoin de changer quelque chose dans le web.config. Cependant, je l'ai eu à travailler par la suppression de " si (Contexte.L'utilisateur != null) et modification de la dernière ligne dans Application_AuthenticateRequest de Contexte.Utilisateur = new GenericPrincipal(nouveau GenericIdentity(authTicket.Nom), rôles);'.
exactement ce dont j'avais besoin ! Ne peut pas imaginer qu'une telle chose simple comme cela nécessiterait dvelving dans de nombreux blogs,les questions et les livres !!
Hmmz, User.IsAuthenticated retourne toujours false. Serais-je capable de vérifier User.IsInRole ainsi (après je vais trier mes question)?

InformationsquelleAutor yinner

J'ai fait quelque chose comme ceci:

Utiliser le Mondial.asax.cs pour charger les rôles que vous souhaitez comparer dans la session,la mise en cache ou l'état de l'application, ou de les charger à la volée sur le ValidateUser contrôleur

Affectez l'attribut [Authorize] aux contrôleurs, vous voulez avoir besoin d'autorisation pour

 [Authorize(Roles = "Admin,Tech")]

ou de permettre l'accès, par exemple le Login et le ValidateUser utilisation de contrôleurs de la ci-dessous attribut

 [AllowAnonymous]

Mon Formulaire De Connexion

<form id="formLogin" name="formLogin" method="post" action="ValidateUser">
<table>
  <tr>
    <td>
       <label for="txtUserName">Username: (AD username) </label>
    </td>
    <td>
       <input id="txtUserName" name="txtUserName" role="textbox" type="text" />
    </td>
  </tr>
  <tr>
     <td>
         <label for="txtPassword">Password: </label>
     </td>
     <td>
         <input id="txtPassword" name="txtPassword" role="textbox" type="password" />
     </td>
  </tr>
  <tr>
      <td>
         <p>
           <input id="btnLogin" type="submit" value="LogIn" class="formbutton" />
        </p>
      </td>
  </tr>
</table>
       @Html.Raw("<span id='lblLoginError'>" + @errMessage + "</span>")
</form>

De connexion du Contrôleur et ValidateUser contrôleur invoqué à partir du post de Formulaire

Validation de l'utilisateur est d'authentification via un service WCF qui valide à l'encontre de la Windows AD Contexte local pour le service, mais vous pouvez le modifier pour votre propre mécanisme d'authentification

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Security;
using System.Security.Principal;
using MyMVCProject.Extensions;
namespace MyMVCProject.Controllers
{
public class SecurityController : Controller
{
[AllowAnonymous]
public ActionResult Login(string returnUrl)
{
Session["LoginReturnURL"] = returnUrl;
Session["PageName"] = "Login";
return View("Login");
}
[AllowAnonymous]
public ActionResult ValidateUser()
{
Session["PageName"] = "Login";
ViewResult retVal = null;
string loginError = string.Empty;
HttpContext.User = null;
var adClient = HttpContext.Application.GetApplicationStateWCFServiceProxyBase.ServiceProxyBase<UserOperationsReference.IUserOperations>>("ADService").Channel;
var username = Request.Form["txtUserName"];
var password = Request.Form["txtPassword"];
//check for ad domain name prefix
if (username.Contains(@"\"))
username = username.Split('\\')[1];
//check for the existence of the account 
var acctReq = new UserOperationsReference.DoesAccountExistRequest();
acctReq.userName = username;
//account existence result
var accountExist = adClient.DoesAccountExist(acctReq);
if (!accountExist.DoesAccountExistResult)
{
//no account; inform the user
return View("Login", new object[] { "NO_ACCOUNT", accountExist.errorMessage });
}
//authenticate
var authReq = new UserOperationsReference.AuthenticateRequest();
authReq.userName = username;
authReq.passWord = password;
var authResponse = adClient.Authenticate(authReq);
String verifiedRoles = string.Empty;
//check to make sure the login was as success against the ad service endpoint
if (authResponse.AuthenticateResult == UserOperationsReference.DirectoryServicesEnumsUserProperties.SUCCESS)
{
Dictionary<string, string[]> siteRoles = null;
//get the role types and roles
if (HttpContext.Application["UISiteRoles"] != null)
siteRoles = HttpContext.Application.GetApplicationState<Dictionary<string, string[]>>("UISiteRoles");
string groupResponseError = string.Empty;
if (siteRoles != null && siteRoles.Count > 0)
{
//get the user roles from the AD service
var groupsReq = new UserOperationsReference.GetUsersGroupsRequest();
groupsReq.userName = username;
//execute the service method for getting the roles/groups
var groupsResponse = adClient.GetUsersGroups(groupsReq);
//retrieve the results
if (groupsResponse != null)
{
groupResponseError = groupsResponse.errorMessage;
var adRoles = groupsResponse.GetUsersGroupsResult;
if (adRoles != null)
{
//loop through the roles returned from the server
foreach (var adRole in adRoles)
{
//look for an admin role first
foreach (var roleName in siteRoles.Keys)
{
var roles = siteRoles[roleName].ToList();
foreach (var role in roles)
{
if (adRole.Equals(role, StringComparison.InvariantCultureIgnoreCase))
{
//we found a role, stop looking
verifiedRoles += roleName + ";";
break;
}
}
}
}
}
}
}
if (String.IsNullOrEmpty(verifiedRoles))
{
//no valid role we need to inform the user
return View("Login", new object[] { "NO_ACCESS_ROLE", groupResponseError });
}
if (verifiedRoles.EndsWith(";"))
verifiedRoles = verifiedRoles.Remove(verifiedRoles.Length - 1, 1);
//all is authenticated not build the auth ticket
var authTicket = new FormsAuthenticationTicket(
1,                             //version
username,                      //user name
DateTime.Now,                  //created
DateTime.Now.AddMinutes(20),  //expires
true,                    //persistent?
verifiedRoles   //can be used to store roles
);
//encrypt the ticket before adding it to the http response
string encryptedTicket = FormsAuthentication.Encrypt(authTicket);
var authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
Response.Cookies.Add(authCookie);
Session["UserRoles"] = verifiedRoles.Split(';');
//redirect to calling page
Response.Redirect(Session["LoginReturnURL"].ToString());
}
else
{
retVal = View("Login", new object[] { authResponse.AuthenticateResult.ToString(), authResponse.errorMessage });
}
return retVal;
}
}

}

Utilisateur est authentifié maintenant créer la nouvelle Identité

protected void FormsAuthentication_OnAuthenticate(Object sender,     FormsAuthenticationEventArgs e)
{
if (FormsAuthentication.CookiesSupported == true)
{
HttpCookie authCookie = Context.Request.Cookies[FormsAuthentication.FormsCookieName];
if (authCookie == null || authCookie.Value == "")
return;
FormsAuthenticationTicket authTicket = null;
try
{
authTicket = FormsAuthentication.Decrypt(authCookie.Value);
}
catch
{
return;
}
//retrieve roles from UserData
if (authTicket.UserData == null)
return;
//get username from ticket
string username = authTicket.Name;
Context.User = new GenericPrincipal(
new System.Security.Principal.GenericIdentity(username, "MyCustomAuthTypeName"), authTicket.UserData.Split(';'));
}
}

Sur mon site au sommet de ma _Layout.cshtml j'ai quelque chose comme ce

 {
bool authedUser = false;
if (User != null && User.Identity.AuthenticationType == "MyCustomAuthTypeName" && User.Identity.IsAuthenticated)
{
authedUser = true;
}
}

Puis dans le corps

        @{
if (authedUser)
{
<span id="loggedIn_userName">
<label>User Logged In: </label>@User.Identity.Name.ToUpper()
</span>
}
else
{
<span id="loggedIn_userName_none">
<label>No User Logged In</label>
</span>
}
}

InformationsquelleAutor C0r3yh

0

Ajouter à vos utilisateurs de la table "utilisateurs dans des rôles". Utilisez la procédure stockée "addusertorole" (quelque chose comme ça) dans votre code à ajouter à leurs différents rôles. Vous pouvez créer des rôles très simplement dans les "rôles" de la table.

Vos tables à l'utilisation: l'Utilisateur, UsersInRole, les Rôles

Utiliser le construit en Stockées Procs pour manipuler les tables. Ensuite, tout ce que vous avez à faire est d'ajouter l'attribut.

Par exemple, vous pouvez avoir un "Admin" attribut sur une vue qui sélectionne un utilisateur et de les ajouter à un rôle. Vous pouvez utiliser la procédure stockée pour ajouter l'utilisateur à le rôle.
- Je ne suis pas préoccupé par la base de données SQL. Je peux gérer ça sur mon propre. J'ai juste besoin de savoir "où".
- Quand vous dites "où" voulez-vous dire où avez-vous mis l'attribut?
InformationsquelleAutor

-9

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using System.Web.Security;
using SISWEBBSI.Models.Model;
using SISWEBBSI.Models.Model.Entities;
using SISWEBBSI.Models.ViewModel;
namespace SISWEBBSI.Controllers.ActionFilter
{
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = false)]
public sealed class RequerAutorizacao : ActionFilterAttribute
{
public Grupo.Papeis[] Papeis = {} ;
public string ViewName { get; set; }
public ViewDataDictionary ViewDataDictionary { get; set; }
public AcessoNegadoViewModel AcessoNegadoViewModel { get; set; }
public override void OnActionExecuting(ActionExecutingContext FilterContext)
{
if (!FilterContext.HttpContext.User.Identity.IsAuthenticated)
{
string UrlSucesso = FilterContext.HttpContext.Request.Url.AbsolutePath;
string UrlRedirecionar = string.Format("?ReturnUrl={0}", UrlSucesso);
string UrlLogin = FormsAuthentication.LoginUrl + UrlRedirecionar;
FilterContext.HttpContext.Response.Redirect(UrlLogin, true);
}
else
{
if (Papeis.Length > 0)
{
//Papel ADMINISTRADOR sempre terá acesso quando alguma restrição de papeis for colocada.
int NovoTamanho = Papeis.Count() + 1;
Array.Resize(ref Papeis, NovoTamanho);
Papeis[NovoTamanho - 1] = Grupo.Papeis.ADMINISTRADOR;
UsuarioModel Model = new UsuarioModel();
if (!Model.UsuarioExecutaPapel(FilterContext.HttpContext.User.Identity.Name, Papeis))
{
ViewName = "AcessoNegado";
String Mensagem = "Você não possui privilégios suficientes para essa operação. Você deve estar nos grupos que possuem";
if(Papeis.Length == 1)
{
Mensagem = Mensagem + " o papel: <BR/>";
}
else if (Papeis.Length > 1)
{
Mensagem = Mensagem + " os papéis: <BR/>";
}
foreach (var papel in Papeis)
{
Mensagem = Mensagem + papel.ToString() + "<br/>";
}
AcessoNegadoViewModel = new AcessoNegadoViewModel();
AcessoNegadoViewModel.Mensagem = Mensagem;
ViewDataDictionary = new ViewDataDictionary(AcessoNegadoViewModel);
FilterContext.Result = new ViewResult { ViewName = ViewName, ViewData = ViewDataDictionary };
return;
}
}
}
}
}
}

Ce poste nécessite une explication des raisons pour lesquelles elle devrait être considérée.

InformationsquelleAutor Marlon

Vous devez vous connecter pour publier un commentaire.