如果我正在验证用户权限,我需要代码修订 - Custom Principal

时间:2013-02-23 17:18:53

标签: c# asp.net-mvc asp.net-mvc-3 forms-authentication iprincipal

在我的登录方法中,我使用此代码登录用户:

FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);

因为当我需要UserId和其他一些数据时,我总是想避免数据库调用,所以我做了一些事情并且我不确定我做得对。
所以这就是为什么我需要有人检查我的代码,它是安全的而不是愚蠢的:) 这样做我打破了一些规则 这是我的网站安全阶段的最后阶段,因为我不再使用会员/角色了。

所以我在上面用SetAuth代码更改了代码:

CustomPrincipalSerializeModel serializeModel = new CustomPrincipalSerializeModel();
                    var usr = userRepository.GetUser(model.UserName);

                    serializeModel.UserId = usr.UserId;
                    serializeModel.Username = usr.UserName;

                    JavaScriptSerializer serializer = new JavaScriptSerializer();

                    string userData = serializer.Serialize(serializeModel);

                    FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
                             1,
                             usr.UserName,
                             DateTime.Now,
                             DateTime.Now.AddMinutes(30),
                             model.RememberMe,
                             userData);

                    string encTicket = FormsAuthentication.Encrypt(authTicket);
                    HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
                    Response.Cookies.Add(faCookie);

在我的 Global.asax 中,我添加了:

protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
        {
            HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

            if (authCookie != null)
            {
                FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

                JavaScriptSerializer serializer = new JavaScriptSerializer();

                CustomPrincipalSerializeModel serializeModel = serializer.Deserialize<CustomPrincipalSerializeModel>(authTicket.UserData);

                CustomPrincipal newUser = new CustomPrincipal(authTicket.Name);
                newUser.UserId = serializeModel.UserId;
                newUser.Username = serializeModel.Username;
                newUser.FirstName = serializeModel.FirstName;
                newUser.LastName = serializeModel.LastName;

                HttpContext.Current.User = newUser;
            }
        }

自定义主要代码 - 对于问题的主要目标可能并不重要:

public interface ICustomPrincipal : IPrincipal
    {
        int UserId { get; set; }
        string Username { get; set; }
        string FirstName { get; set; }
        string LastName { get; set; }        
    }
public class CustomPrincipal : ICustomPrincipal
    {
        public IIdentity Identity { get; private set; }
        public bool IsInRole(string role) { return false; }

        public CustomPrincipal(string email)
        {
            this.Identity = new GenericIdentity(email);
        }

        public int UserId { get; set; }
        public string Username { get; set; }
        public string FirstName { get; set; }
        public string LastName { get; set; }
    }
public class CustomPrincipalSerializeModel
    {
        public int UserId { get; set; }
        public string FirstName { get; set; }
        public string LastName { get; set; }
        public string Username { get; set; }
    }

1 个答案:

答案 0 :(得分:1)

我可以看到你的代码的第一个问题是你应该使用web.config中的表单身份验证设置(例如timeout,domain,path,requireSSL,...)来为表单身份验证票证设置这些值和饼干。现在你已经硬编码了这些值。例如,您为故障单提供了30分钟的硬编码超时,这可能与您在web.config中为cookie生命周期设置的超时时间不同。默认值为20分钟。但是,如果您在web.config中更改此值以增加它,那么您的cookie将比表单身份验证票证的寿命更长。因此,用户将始终在30分钟后退出,而不是在您指定的超时后退出。

另外,我会使用自定义Authorize属性来解析表单身份验证票证并设置主体而不是使用全局Application_PostAuthenticateRequest事件。第一个是MVCish实现这一目标的方式。但这只是一个建议,从安全性或行为角度来看都没有问题。

相关问题
最新问题