我编写了一段代码来查找用户在ASP.NET MVC中的角色。可以说它适用于大多数用户。但是,如果用户的电子邮件地址中包含连字符,则无法更新用户的详细信息。
例如:
我已经进行了几次用户名测试:test@test.com,所有测试都回来了。但是,使用相同的用户,但更改其用户名test-test@test.com或test@test-test.com,我可以回想起用户,但我无法发布任何更改。
控制器代码:
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult RoleAddToUser(string UserId, string RoleName)
{
User user = context.Users.Where(u => u.Id.Equals(UserId, StringComparison.CurrentCultureIgnoreCase)).FirstOrDefault();
var userManager = new UserManager<User>(new UserStore<User>(new ApplicationDbContext()));
var idResult = userManager.AddToRole(user.Id, RoleName);
ViewBag.ResultMessage = "Role created successfully !";
return View("ManageUserRoles");
}
<小时/> ---更新---
尝试将以下代码添加到我的AccountController中作为建议,但它似乎不起作用。
public AccountController(UserManager<User> userManager)
{
var provider = new Microsoft.Owin.Security.DataProtection.DpapiDataProtectionProvider("One");
userManager.UserTokenProvider = new Microsoft.AspNet.Identity.Owin.DataProtectorTokenProvider<User>(provider.Create("EmailConfirmation"));
UserManager = (ApplicationUserManager)userManager;
UserManager.UserValidator = new UserValidator<User>(UserManager)
{
AllowOnlyAlphanumericUserNames = false
};
}
我的ApplicationUser只是用户。
<小时/> ---更新---
完成了我在IdentityConfig.cs中找到的代码:
var manager = new ApplicationUserManager(new UserStore<User>(context.Get<ApplicationDbContext>()));
// Configure validation logic for usernames
manager.UserValidator = new UserValidator<User>(manager)
{
AllowOnlyAlphanumericUserNames = false,
RequireUniqueEmail = true
};
这表明已经设置了AllowOnlyAlphanumericUserNames并且通过一些测试工作正常。所以这不是问题。这个问题似乎只发生在某个地方嵌入了“ - ”的电子邮件地址:
test@test.com - 工作正常。拥有此电子邮件格式的用户可以更新和编辑自己的电子邮件地址。
test@test-test.com - 无效。
test-test@test.com - 无效。
可能需要执行更多测试。
欢迎任何建议。
答案 0 :(得分:1)
我在我的一个项目中重现了这个问题。不知道Identity为什么不进行更改(如果有空余时间会尝试进入),但您可以通过在声明时将自定义验证器连接到UserManager来解决此问题。
manager.UserValidator = new CustomUserValidator<ApplicationUser>(manager);
CustomValidator应该如下所示:
public class CustomUserValidator<TUser> : IIdentityValidator<TUser>
where TUser : class, Microsoft.AspNet.Identity.IUser
{
private static readonly Regex EmailRegex = new Regex(Consts.EmailRegex, RegexOptions.Compiled | RegexOptions.IgnoreCase);
//in my case EmailRegex = @"^[A-Z0-9._%+-]+@[A-Z0-9.-]+\.[A-Z]{2,4}$"; but you can use your own
private readonly UserManager<TUser> _manager;
public CustomUserValidator()
{
}
public CustomUserValidator(UserManager<TUser> manager)
{
_manager = manager;
}
public async Task<IdentityResult> ValidateAsync(TUser item)
{
var errors = new List<string>();
if (!EmailRegex.IsMatch(item.UserName))
errors.Add("Bad email address");
if (_manager != null)
{
var otherAccount = await _manager.FindByNameAsync(item.UserName);
if (otherAccount != null && otherAccount.Id != item.Id)
errors.Add("Email already exists");
}
return errors.Any()
? IdentityResult.Failed(errors.ToArray())
: IdentityResult.Success;
}
}
验证新用户时会使用ValidateAsync(如果对现有用户进行任何更改,则会出现这种情况),并且您可以应用自己的电子邮件正则表达式和其他验证
答案 1 :(得分:0)
尝试了多种方法来解决用户名问题后,我尝试了更明显的答案。我现在已经删除了电子邮件地址作为用户名,现在用户需要创建一个用户名(限制可以使用的内容)。我已经测试了多个用户,它工作正常。
考虑到安全性,如果我有一个用户的电子邮件地址,并且系统需要一个电子邮件地址和密码来访问该网站,那么使用黑客攻击方法(暴力破解等)只是时间问题我可以访问用户的详细信息。
作为预防措施,我还采取了其他措施来防止蛮力方法进入现场。