我目前正在尝试在ASP.NET MVC2 Web应用程序中实现一些自定义安全性。
我正在尝试做一些非常简单的事情,因为我的代码如下所示,但出于某种原因,如果我在我的某个控制器操作上使用[Authorize(Roles="Admins")]属性,请检查Context.User.IsInRole("Admins")或Page.User.IsInRole("Admins")它总是错误的。
User.Identity.Name也是空白也很奇怪。
请参阅下面的代码,我在Cookie中使用FormsAuthenticationTicket,然后在Gloabl.asax中的Application_AuthenticateRequest事件句柄中使用它来设置Context.User并使用GenericPrincipal对象。< / p>
我的登录代码:
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Login(string username, string password)
{
//this would obviously do a check against the supplied username and password
if (true)
{
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, username, DateTime.Now,
DateTime.Now.AddMinutes(15), false, "Admins|Users|Members");
string encTicket = FormsAuthentication.Encrypt(ticket);
HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
this.Response.Cookies.Add(cookie);
string url = FormsAuthentication.GetRedirectUrl(username, false);
Response.Redirect(url);
}
return View();
}
我的Global.asax代码:
void MvcApplication_AuthenticateRequest(object sender, EventArgs e)
{
HttpApplication application = (HttpApplication)sender;
HttpContext context = application.Context;
var cookie = context.Request.Cookies[FormsAuthentication.FormsCookieName];
if (cookie != null)
{
// Get the authentication ticket
// and rebuild the principal & identity
FormsAuthenticationTicket authTicket =
FormsAuthentication.Decrypt(cookie.Value);
string[] roles = authTicket.UserData.Split(new Char[] { '|' });
GenericIdentity userIdentity = new GenericIdentity(authTicket.Name);
GenericPrincipal userPrincipal =
new GenericPrincipal(userIdentity, roles);
context.User = userPrincipal;
}
一旦我设置了context.User,我就可以在监视窗口中查看并完美地设置对象,使用正确的名称等正确的角色,但是如果我尝试锁定控制器操作或从任何地方使用Principal在我的网站中,它总是被设置为一个没有分配角色的空字符串!!
我猜我在做一些非常愚蠢的事情,但如果有人能指出这一点,我会非常感激。
答案 0 :(得分:2)
检查您是否将新的userPrincipal分配给global.asax中的OnPostAuthenticate请求中的HttpContext和当前线程:
HttpContext.Current.User = userPrincipal;
Thread.CurrentPrincipal = userPrincipal;