在Asp.Net MVC 3中，AuthorizeAttribute的身份驗證用戶是什麼？

Question

我發現Asp.Net中的很多東西都是基於假定的知識。例如，我對互聯網認證知之甚少，並且很難在初學者的層面上找到任何有關它的信息。

令我困惑的一件事是AuthorizeAttribute。我知道如何使用它以及它應該做什麼，但是我想知道它是否會在您有自定義登錄系統的情況下工作。

在AuthorizeAttribute頁面上的描述，說簡單 When you mark an action method with AuthorizeAttribute, access to that action method is restricted to users who are both authenticated and authorized.

那麼，什麼是身份驗證的用戶，你如何設置一個用戶進行身份驗證。如果我創建了我自己的登錄系統，我該如何設置以便登錄的用戶對AuthorizeAttribute進行足夠的身份驗證以允許他進入？

Answer 1

它檢查的IIdentity的IsAuthorized。

在Global.asax中添加一個方法來處理「AuthorizeRequest」。然後在方法做，你需要檢查用戶被授權（檢查會話，餅乾，數據庫等）

然後HttpContext.Current.User設置爲GenericPrincipal有一個實現IIdentity的並具有用戶什麼都它的IsAuthorized設置爲true。

事情是這樣的：

public class MvcApplication : HttpApplication 
    { 
    public MvcApplication() 
    { 
     this.AuthorizeRequest += this.AuthorizedRequestEvent; 
    } 

    private void AuthorizedRequestEvent(object sender, System.EventArgs e) 
    { 
     // do checking here with what ever you want 
     bool isAuthenicated = false; 

     // change this what what ever implements IIdentity 
     var user = new User(); 
     user.IsAuthenticated = isAuthenicated ; 
     GenericPrincipal principal; 
     principal = new GenericPrincipal(user, new string[] { }); 
     HttpContext.Current.User = principal; 
    } 
    } 

Answer 2

HttpContext.Current.User包含User對象，它是當前登錄的用戶。雖然在Controller內，但這也可以從User獲得。

Answer 3

如果你需要初學者水平的知識，那麼你需要去買一本好書。快速的Amazon.com搜索顯示了對Pro ASP.NET MVC 3框架的大量支持，所以這可能是一個很好的開始。像這樣一本書的價值在於它會引導您通過構建Web應用程序（包括身份驗證）的前後例子。

至於安全..你不想建立自己的..特別是如果你是初學者。這很容易導致錯誤並最終導致混亂（在那裏......做到了這一點）。你想要做的是使用內置身份驗證。再次，一本書將是一個很好的開始，但另外從內置模板開始，並遵循這個walkthrough。完成之後，開始閱讀代碼並將類名稱用作Google搜索點。

Answer 4

您缺乏關於ASP.NET管道如何工作的基本知識。

http://msdn.microsoft.com/en-us/library/bb470252.aspx

特別地，早期的某處是AuthenticateRequest事件，其中插入模塊可能可能設定的用戶進行認證。他們是怎麼做到的？通過將當前HttpContext的User設置爲不同於null的其他值，其中Identity.IsAuthenticated評估爲true。

由於上下文的User屬性不束縛於任何特定類型的（而它可以是其類型已從IPrincipal繼承的任何值）任何認證提供商是可能的。

而最後一件事 - 很多人堅持使用表單驗證模塊從cookie中檢索信息。