我的任务是在我的.Net Web应用程序上处理安全性,它的工作方式是,如果用户登录到Active Directory并且用户AD名称在数据库中,那么它们将被允许
在相同的基础上,如果用户的AD名称不在数据库中,那么他们将被要求使用用户名和密码登录数据库。
因此,我需要使用成员资格和角色提供程序进行某种混合模式安全登录。
我遇到问题的地方是您在哪里可以检测到用户是否可以使用AD登录,因此他们会自动登录。
答案 0 :(得分:1)
听起来你需要实现一个继承自ActiveDirectoryMembershipProvider的自定义MembershipProvider。
至少,您需要覆盖ValidateUser,以便在base.ValidateUser返回false时,您可以尝试验证SQL数据库中的用户。以下代码示例适用于我的测试应用程序,但是我没有实现SQL方法。对你来说这应该是非常直接的。
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Web.Security;
using System.Configuration;
using System.Configuration.Provider;
namespace Research.Web.Security
{
public class MixedMembershipProvider : ActiveDirectoryMembershipProvider
{
protected String SqlConnectionString { get; private set; }
private String GetConnectionString(String connectionStringName)
{
if (string.IsNullOrEmpty(connectionStringName))
throw new ProviderException("ConnectionStringName must be specified.");
ConnectionStringSettings settings = ConfigurationManager.ConnectionStrings[connectionStringName];
if (settings == null)
{
throw new ProviderException(String.Format("Connection string {0} not found.", connectionStringName));
}
return settings.ConnectionString;
}
public override void Initialize(String name, System.Collections.Specialized.NameValueCollection config)
{
this.SqlConnectionString = GetConnectionString(config["sqlConnectionStringName"]);
config.Remove("sqlConnectionStringName");
base.Initialize(name, config);
}
public override Boolean ValidateUser(String username, String password)
{
if (!base.ValidateUser(username, password)) // validate using AD first
{
return ValidateUserSql(username, password); // if not in AD, check SQL
}
else
{
return true;
}
}
private Boolean ValidateUserSql(String username, String password)
{
// look up your account in SQL here
return true;
}
}
}
您的网络配置如下所示:
<configuration>
<!-- usual config stuff omitted -->
<connectionStrings>
<add name="SqlDefault" connectionString="Server=localhost;database=mydatabase;Integrated Security=SSPI;" providerName="System.Data.SqlClient" />
<add name="ActiveDirectoryDefault" connectionString="LDAP://mydomain.com/DC=mydomain,DC=com" />
</connectionStrings>
<system.web>
<!-- usual config stuff omitted -->
<membership defaultProvider="Mixed">
<providers>
<clear/>
<add name="Mixed"
type="Research.Web.Security.MixedMembershipProvider, Research.Web"
applicationName="/"
connectionStringName="ActiveDirectoryDefault"
sqlConnectionStringName="SqlDefault"
connectionUsername="mydomain\myadmin"
connectionPassword="mypass"/>
</providers>
</membership>
<!--- usual config stuff omitted -->
</system.web>
</configuration>
上述代码适用于基本身份验证,但您可能需要覆盖其他一些方法来处理密码重置,查找等,以确定帐户是在SQL而不是AD中的可能性。