Où stocker les informations de l'utilisateur connecté sur ASP.NET MVC à l'aide de l'Authentification par Formulaires?

Je suis en utilisant ASP.NET MVC et l'Authentification de Formulaires sur mon application. Fondamentalement, je suis d'utilisation FormsAuthentication.SetAuthCookie de connexion et FormsAuthentication.SignOut de vous déconnecter.

Dans le HttpContext.Actuel.De l'utilisateur.L'identité que j'ai stocké le nom de l'utilisateur, mais j'ai besoin de plus d'infos sur la session de l'utilisateur. Je ne veux pas stocker l'ensemble de mon Utilisateur obj dans la Session, car il pourrait être grand et avec beaucoup plus d'informations que j'ai besoin.

Pensez-vous que c'est une bonne idée de créer comme une classe appelée LoggedUserInfo avec uniquement les attributs dont j'ai besoin et puis l'ajouter à la Session variable? Est-ce une bonne approche?

Ou vous avez de meilleures idées?

InformationsquelleAutor Guillermo Guerini | 2009-11-30
  1. 8

    J'utilise cette solution:

    ASP.NET 2.0 authentification de Formulaires - approche personnalisée et simple

    Pour résumer: j'ai créé mon propre IPrincipal mise en œuvre. Il est stocké dans HttpContext.Actuel.Le Cache. Si il est un peu perdu, j'ai nom d'utilisateur côté client l'autorisation de biscuit et de la rebâtir. Cette solution ne repose pas sur la Session, qui peut être facilement perdu.

    MODIFIER

    Si vous souhaitez utiliser votre capital dans votre contrôleur et rendre testable, vous pouvez le faire:

        private MyPrincipal _myPrincipal;
    MyPrincipal MyPrincipal
    {
        get
        {
            if (_myPrincipal == null)
                return (MyPrincipal)User;
            return _myPrincipal;
        }
        set
        {
            _myPrincipal = value;
        }
    }

    Dans votre test, vous allez définir l'objet préparé pour les tests. Sinon, il sera pris de HttpContext. Et maintenant, j'ai commencé à penser, pourquoi dois-je utiliser Ninject faire?

    • J'utilise la même approche plus ou moins. Je préfère stocker l'ID de l'utilisateur (PK sur votre table DB) au lieu du NOM d'utilisateur.
    • Dans mon application "connexion" est une des clés ainsi qu'un index, donc il n'y a pas de problème. Ma question à propos de l'enregistrement de la IPrincipal dans le cache est si elle aboutit à une meilleure performance et une solution fiable par rapport à ranger mon "UserCredentials" dans la session.
    • Guerini: avez-vous vraiment avez une grande application que cette performance pourrait être un problème? À l'aide de Session à l'aide de moyens cookie supplémentaire (en plus de forma cookie d'authentification) ou dangereux cookieless solution. Je ne vois pas de différence de performances, mais à l'aide de Session peut vous donner des problèmes supplémentaires.
    • En fait, j'ai tendance à aller avec votre solution, mais je me demandais juste si elle entraîne un lit de performance. Je suis d'accord avec vous sur tous les problème de session. Eh bien, merci beaucoup. Je vais essayer votre idée. Je vous remercie beaucoup.
    • Guerini: je ne sais pas, mais il n'y aura probablement pas de malformation, de différence de performances. Vous serez en mesure de désactiver l'état de session. Il peut vous faire économiser quelques cycles de processeur:)
    • Nice! La dernière question. Dans votre solution, vous convertir le HttpContext.Actuel.De l'utilisateur.L'identité de FormsIdentity. Avez-vous une raison pour faire cela?
    • Eh bien, tout fonctionne très bien ici! Très bien votre solution. Maintenant que suggérez-vous pour accéder à cette info dans mon contrôleurs et les vues? Pensez-vous que je devrais créer un wrapper en quelque chose comme MyController pour rendre l'accès plus facile? Et de mon point de vue?
    • Guerini: Ici vous pouvez lire sur les formulaires d'authentification: msdn.microsoft.com/en-us/library/aa480476.aspx à Partir de la page: les Formes d'authentification utilise un ticket d'authentification qui est créé lorsqu'un utilisateur ouvre une session sur un site, puis il suit l'utilisateur à travers le site. Les formulaires de ticket d'authentification est généralement contenues dans un cookie. La classe FormsAuthenticationModule construit un objet GenericPrincipal et la stocke dans le contexte HTTP. L'objet GenericPrincipal contient une référence à une FormsIdentity instance qui représente l'utilisateur actuellement authentifié.
    • Merci pour le lien. Je vais prendre une lecture. Et comment accéder à la MyPrincipal propriétés par le biais de l'application? Avez-vous une bonne idée? Merci beaucoup pour votre aide. 😉
    • Guerini: j'ai d'Abord défini IMyPrincipal qui a hérité de IPrincipal. Ensuite, j'ai mis en œuvre dans MyPrincipal classe. Mon BaseController classe a IMyPrincipal MyPrincipal de la propriété, qui est injecté par ma DI conteneur. J'utilise Ninject, de sorte qu'il ressemble Bind<IMyPrincipal>().ToMethod(c => (IMyPrincipal)HttpContext.Current.User).OnlyIf(a => HttpContext.Current.User is IMyPrincipal);
    • Est-il un autre moyen d'ailleurs Ninject? Je n'ai jamais utilisé avant, donc je ne sais pas par où commencer. Je pensais que je pouvais créer un BaseController par exemple et de créer l'objet, comme: "MyPrincipal principal = (MyPrincipal)HttpContext.Le Cache.Obtenez De L'Utilisateur(Nom D'Utilisateur.L'identité.Nom);" de Sorte qu'il serait accessible à tous les Contrôleurs hérité de la BaseController mais je ne peux pas le faire à cause de la HttpContext. Des idées?
    • Guerini: Regarde mon edit sur répondre.
    • Vous n'êtes pas vraiment de les stocker dans le cache êtes-vous? de plus, comme la session?
    • Pas de. Je ne suis pas à l'aide de session. Je suis à l'aide de cache. Depuis que j'ai stocker des privilèges dans le cache, je peux facilement invalider d'autres sessions utilisateurs (suffit de retirer l'objet à partir du cache). Il sera reconstruit avec d'un côté la demande des utilisateurs (si il est valide cookie d'authentification de formulaires).
    • Le lien est plus direct

    InformationsquelleAutor LukLed
  2. 4

    En fait, j'aime utiliser un CustomPrincipal et CustomIdentity que j'ai mis dans l'ouverture de session de la méthode d'action comme

            if (!String.IsNullOrEmpty(username) && !String.IsNullOrEmpty(password) && _authService.IsValidLogin(username, password))
        {
            User objUser = _userService.GetUserByName(username);
            if (objUser != null)
            {
                //** Construct the userdata string
                string userData = objUser.RoleName + "|" + objUser.DistrictID + "|" + objUser.DistrictName + "|" + objUser.ID + "|" + objUser.DisplayName;
                HttpCookie authCookie = FormsAuthentication.GetAuthCookie(username, rememberMe.GetValueOrDefault());
                FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(authCookie.Value);
                FormsAuthenticationTicket newTicket = new FormsAuthenticationTicket(ticket.Version, ticket.Name, ticket.IssueDate, ticket.Expiration, ticket.IsPersistent, userData);
                authCookie.Value = FormsAuthentication.Encrypt(newTicket);
                Response.Cookies.Add(authCookie);
                return RedirectToAction("Index", "Absence");
            }
            else
            {
                return RedirectToAction("LogOn", "Account");
            }
        }
        else
        {
            return RedirectToAction("LogOn", "Account");
        }

    Puis dans l'entité personnalisée, vous pouvez avoir des méthodes que l'accès à des informations spécifiques que vous avez passé dans le constructeur comme

    ((CustomIdentity)((CustomPrincipal)HttpContext.Current.User).Identity).DisplayName;

    où la propriété DisplayName est déclarée dans le CustomIdentity classe.

    InformationsquelleAutor user205258
  3. 3

    Stocker côté serveur dans la session.

    Par exemple.

    //Make this as light as possible and store only what you need
public class UserCedentials
{
    public string Username { get; set; }
    public string SomeOtherInfo { get; set; }
    //etc...
}

    Puis lorsqu'ils se connectent simplement enregistrer les utilisateurs info:

    //Should make typesafe accessors for your session objects but you will
//get the point from this example
Session["UserCredentials"] = new UserCredentials()
    { Username = "SomeUserName", SomeOtherInfo = "SomeMoreData" };

    Alors à chaque fois que vous en avez besoin le chercher:

    UserCredentials user = (UserCredentials)(Session["UserCredentials"]);

    J'ai écrit une couple de questions/réponses concernant personnalisés autorisation MVC:
    Comment mettre en œuvre les contrôles d'autorisation dans ASP.NET MVC basé sur les données de Session?

    Comment l'Autoriser balise de travail? - Asp.net Mvc

    • De stockage de l'authentification infos de session est dangereux. Session est découplée de l'adhésion. Google "ASP.NET session de voler".
    InformationsquelleAutor Kelsey
  4. 2

    Bien, vous aurez à stocker ces quelque part. Deux principaux endroits possibles si:

    Le serveur

    Vous pouvez les mettre dans la Session. Je ne vous suggère de créer une classe qui va contenir uniquement les données que vous avez réellement besoin pour éviter de perdre trop de mémoire. Ou vous pouvez également les stocker dans le Cache qui peuvent en avoir beaucoup d'DB appelle quand il y a des quantités énormes d'utilisateurs simultanés.

    Le client

    Dans ce cas, si vous pouvez limiter la quantité de données avec une classe distincte, et utiliser de quelque manière que ce soit pour sérialiser et l'envoyer au client. Que ce soit dans un cookie ou URI (si la longueur le permet et les cookies sont désactivés)...

    Résultat de ces réflexions:

    la chose principale serait de créer une catégorie distincte si vous gagnez beaucoup de ressources en mémoire de cette façon. Donc, c'est la première chose que vous devriez faire.

    InformationsquelleAutor Robert Koritnik