Question

我正在尝试使用MVC 4中的表单身份验证对用户进行身份验证（我正在使用RavenDB，因此我无法使用标准成员资格提供程序）。然后我使用User.IsInRole()方法或AuthorizeAttribute来验证用户是否担任员工角色。

这是我在成功验证时设置故障单的位置（目前在UserController.cs中）：

FormsAuthenticationTicket ticket =
    new FormsAuthenticationTicket(
        1,
        model.Email,
        DateTime.Now,
        DateTime.Now.AddDays(1),
        false,
        model.Email);

string hashedTicket = FormsAuthentication.Encrypt(ticket);

HttpCookie cookie =
    new HttpCookie(
        FormsAuthentication.FormsCookieName,
        hashedTicket);

HttpContext.Response.Cookies.Add(cookie);

我在这里检查每个请求的票证（Global.asax）：

protected void Application_AuthenticateRequest(object sender, EventArgs e)
{
    var authCookie = HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName];

    if (authCookie != null)
    {
        var authTicket = FormsAuthentication.Decrypt(authCookie.Value);
        var user = this.UserService.GetUserByEmail(authTicket.Name);

        var identity = new GenericIdentity(authTicket.Name, "Forms");

        var principal = new GenericPrincipal(identity, user.Roles);

        HttpContext.Current.User = principal;
    }
}

如果我在我的某个操作方法（CalendarController.cs）上放置调试点，我会isStaff等于false：

public ActionResult Index()
{
    var user = HttpContext.User;

    bool isStaff = user.IsInRole(Role.Staff);

    return View();
}

只是为了完成（Roles.cs，只是一个测试事物的临时类）：

public static class Role
{
    public static string Staff
    {
        get { return "Staff"; }
    }

    public static string Manager
    {
        get { return "Manager"; }
    }
}

任何人都可以帮我解释一下我可能会缺少什么吗？看起来，当我进入动作方法时，我设置的角色正在消失。

Answer 1

感谢各位帮助我的人，我提出的（包含在下面）效果很好！如果用户拥有有效的票证（cookie），并且还使用ClaimsIdentity和ClaimsPrincipal对象处理基于声明的角色，则会直接通过登录屏幕自动记录用户，而不会将角色放在用户的cookie中。它还处理Global.asax.cs文件中的身份验证，而无需使用自定义授权属性。

UserController.cs

public ActionResult Login()
{
    LoginViewModel model = new LoginViewModel();

    if ((HttpContext.User != null) &&
        (HttpContext.User.Identity.IsAuthenticated))
    {
        return RedirectToAction("Index", "Home");
    }

    return View(model);
}

[HttpPost]
public ActionResult Login(LoginViewModel model)
{
    if (!ModelState.IsValid)
    {
        return View(model);
    }

    bool isAuthenticated = this.userService.IsPasswordValid(model.Email, model.Password);

    if (!isAuthenticated)
    {
        ModelState.AddModelError("AuthError", Resources.User.Login.AuthError);

        return View(model);
    }

    FormsAuthentication.SetAuthCookie(model.Email, model.RememberUser);

    return RedirectToAction("Index", "Home");
}

的Global.asax.cs

protected void Application_AuthenticateRequest(object sender, EventArgs e)
{
    var authCookie = HttpContext.Current.Request.Cookies[FormsAuthentication.FormsCookieName];

    if (authCookie != null)
    {
        var ticket = FormsAuthentication.Decrypt(authCookie.Value);

        FormsIdentity formsIdentity = new FormsIdentity(ticket);

        ClaimsIdentity claimsIdentity = new ClaimsIdentity(formsIdentity);

        var user = this.UserService.GetUserByEmail(ticket.Name);

        foreach (var role in user.Roles)
        {
            claimsIdentity.AddClaim(
                new Claim(ClaimTypes.Role, role));
        }

        ClaimsPrincipal claimsPrincipal = new ClaimsPrincipal(claimsIdentity);

        HttpContext.Current.User = claimsPrincipal;
    }
}

Answer 2

由于您使用的是Raven，我假设您创建了自己的自定义MembershipProvider和RoleProvider;并修改了web.config以使用它们。你应该有一个类似这样的条目：

<membership defaultProvider="MyMembershipProvider">
  <providers>
    <add name="MyMembershipProvider" type="namespace.MyMembershipProvider, providerAssemblyName" connectionStringName="DefaultConnection" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="false" requiresUniqueEmail="false" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="6" minRequiredNonalphanumericCharacters="0" passwordAttemptWindow="10" applicationName="/" />
  </providers>
</membership>
<roleManager enabled="true" defaultProvider="DefaultRoleProvider">
  <providers>
    <add connectionStringName="DefaultConnection" applicationName="/" name="DefaultRoleProvider" type="namespace.MyRoleProvider, providerAssemblyName" />
  </providers>
</roleManager>

如果您使用的是.NET Framework 4.5版，则它使用基于声明的安全性，您无需将角色存储在cookie中。相反，角色只是存储在ClaimsPrincipal中的另一个声明。所有主体现在都继承自ClaimsPrincipal，并在

中存储用户会话

System.Web.HttpContext.Current.User as ClaimsPrincipal

如果您的成员资格和角色提供程序设置正确，ASP.NET应使用它们填充ClaimsPrincipal中的角色，然后在检查 IsInRole 时检查声明。

您还可以从ClaimsPrincipal中检索角色，例如：

principal.FindAll(ClaimTypes.Role).Select(p => p.Value);

你可以像这样在ClaimsPrincipal中添加角色。

List<Claim> claims = new List<Claim>();
foreach (string role in roles)
   claims.Add(new Claim(ClaimTypes.Role, role));
ClaimsPrincipal principal = new ClaimsPrincipal(new ClaimsIdentity(claims, "Forms"));

现在你可以像这样设置你的cookie。

FormsAuthentication.SetAuthCookie(username, false);

Answer 3

您没有创建FormsAuthenticationTicket插入角色信息：

        var ticket = new FormsAuthenticationTicket(
                1, //ticket version
                userName,
                DateTime.Now,
                DateTime.Now.Add(timeout), //timeout
                true, //persistent cookies
                roles,// <---ROLES not model.Email
                FormsAuthentication.FormsCookiePath);

------ ----- EDIT

忘掉我说的话：我认为你过早地调用IsInRole（）或者user.Roles有错误的值（可能是字符串中的空格：isinrole使用StringComparison.OrdinalIgnoreCase）或者你应该使用FormsIdentity而不是GenericIdentity。

调试器说的是什么？

供参考：http://pastebin.com/jkqqcg28 （这是我用于处理身份验证的起始模型）

基于声明的表单身份验证角色

3 个答案: