ASP.NET無需登錄頁面的自定義身份驗證

Question

我試圖基於現有的cookie來驗證用戶。我已經通過使用自定義IIdentity進行過類似的事情和IPrincipal

public class CustomIdentity : IIdentity { 

    public string Name { get; set; } 
    public bool IsAuthenticated { get { return true; } } 
    public string AuthenticationType { get { return String.Empty; } } 

} 

public class CustomPrincipal : IPrincipal { 

    private CustomIdentity _identity; 
    private string[] _roles; 

    public IIdentity Identity { 
     get { return _identity; } 
    } 

    public CustomPrincipal(CustomIdentity identity, string[] roles) { 
     _identity = identity; 
     _roles = roles; 
    } 

    public bool IsInRole(string role) { 
     return true; 
     //TODO 
    } 
} 

我已經建立了一個簡單的HTTP模塊來處理身份驗證。

public class Authentication : IHttpModule { 

    public void Init(HttpApplication application) { 
     application.AuthenticateRequest += new EventHandler(Application_AuthenticateRequest); 
    } 

    private void Application_AuthenticateRequest(object sender, EventArgs e) { 
     //TODO: authentication logic here 
     CustomIdentity identity = new CustomIdentity(); 
     CustomPrincipal principal = new CustomPrincipal(identity, new string[] { }); 
     HttpContext.Current.User = principal; 
    } 

    public void Dispose() { } 
} 

當我通過web.config中的框架是無限重定向到login.aspx的，即使HttpContext.Current.Request.IsAuthenticated是認證事件後真正禁止匿名用戶。

這發生在身份驗證模式Windows，Forms和None中。

我該如何說服框架，請求被正確認證？

更新：

原來有額外的代碼的其他地方這是呼喚System.Web.Security.FormsAuthentication.SignOut()所以我的認證模塊被設置本金，登出叫，模塊將再次觸發。因此無盡的重定向循環。

Answer 1

你是否刪除了asp.net autorization模塊？

<authentication mode="None"> 
.... 
<modules runAllManagedModulesForAllRequests="false"> 
    <remove name="WindowsAuthentication" /> 
    <remove name="PassportAuthentication" /> 
    <remove name="AnonymousIdentification" /> 
    <remove name="FormsAuthentication" /> 
    ... 
    <add name="myauthmodule" type="myauthmodule" /> 

您使用的是UrlAuthorization嗎？

<authorization> 
    <allow roles="Admin" /> 
    <deny users="?" /> 
    <deny users="*" /> 
</authorization> 

我認爲這個問題是由於你混合了自定義自動化和asp.net授權這兩個世界。

如果你想要走這條路，你必須閱讀你的cookie數據，然後做asp.net想：當您在Web.config中設置的認證方式爲Forms一個formauthentication餅乾

//create ticket 
var ticket = new FormsAuthenticationTicket(
     1, // ticket version 
     userName, 
     DateTime.Now, 
     DateTime.Now.Add(timeout), // timeout 
     true, // cookie persistent 
     roles, 
     FormsAuthentication.FormsCookiePath); 

// cookie crypt 
string hash = FormsAuthentication.Encrypt(ticket); 

var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, hash); 
cookie.Domain = FormsAuthentication.CookieDomain; 

// cookie timeout as ticket timeout 
if (ticket.IsPersistent) 
{ 
    cookie.Expires = ticket.Expiration; 
} 
CurrentContext.Response.Cookies.Add(cookie); 
    .... 
HttpContext.Current.User = new GenericPrincipal(new FormsIdentity(ticket), roles); 

Answer 2

文件，FormsAuthentication類將根據ASP.NET創建的cookie來負責驗證請求。

由於ASP.NET有自己的公式來創建身份驗證票據，因此任何其他cookie都不會通過身份驗證。

既然你有你的驗證邏輯和公式創建和讀​​取cookies，我認爲你有兩個選擇：

1. 要麼不使用的web.config，並custimizing你的ASP.NET（的禁用默認認證身份驗證機制高達100％，或者實際上是從頭開始編寫自定義身份驗證）
2. 使用ASP.NET公式創建身份驗證Cookie。要做到這一點，你需要使用FormsAuthentication.SetAuthenticationCookie方法。

Answer 3

In web。配置，設置的成員資格元素上的默認提供給您的自定義供應商的名稱：

... 
<membership Default="YourDefaultProvider"> 
<providers> 
<clear/> 
<add Name="YourDefaultProvider" etc.. /> 
</providers> 
</membership> 

Answer 4

這只是一種假設，我不能在此刻驗證，但我相信你無法設置標識與空的名字。您的CustomIdentity構造函數不設置其中一個。

CustomIdentity identity = new CustomIdentity(); 
    identity.Name = "foo"; 

試試這個檢查理論，如果它工作，繼續進一步實現您的自定義驗證邏輯。