ASP.Net MVC中的两步认证

时间:2011-05-24 18:45:54

标签: asp.net-mvc asp.net-mvc-3 forms-authentication

我正在使用FormsAuthentication使用自定义MembershipProvider处理ASP.Net Mvc 3应用程序(因此我确实可以控制提供程序返回的内容)。

要求要求两步认证过程(用户名和密码后跟秘密问题)。如果不通过这两个步骤,用户就无法访问网站的任何“安全”部分。我已经知道,请不要提及这是否是多因素安全性。

请提供有关如何最好地完成此任务的建议。

以下是一些注意事项:

  • 我被允许(在架构上)使用会话 - 不愿意。
  • 我更愿意为提供安全内容的控制器使用现成的[Authorize] ActionFilter
  • 负责人希望两个步骤的网址相同:即www.contoso.com/login/。至少在我的尝试中,当用户在第二步中输入错误的答案时(这些问题没有正式登录,但是我需要确保我仍在努力对抗这一半),这会引起一些轻微但不是微不足道的问题。经过身份验证的用户的秘密问题/答案)。

感谢。

2 个答案:

答案 0 :(得分:4)

将自定义视图模型与隐藏表单字段结合使用。只需确保通过https完成所有操作。

<强>视图模型 

public LoginForm
{
    public string UserName { get; set; }
    public string Password { get; set; }

    public int SecretQuestionId { get; set; }
    public string SecretQuestion { get; set; }
    public string SecretQuestionAnswer { get; set; }
}

行动方法 

public ActionResult Login()
{
    var form = new LoginForm();
    return View(form);
}

[HttpPost]
public ActionResult Login(LoginForm form)
{
    if (form.SecretQuestionId == 0)
    {
        //This means that they've posted the first half - Username and Password
        var user = AccountRepository.GetUser(form.UserName, form.Password);
        if (user != null)
        {
            //Get a new secret question
            var secretQuestion = AccountRepository.GetRandomSecretQuestion(user.Id);
            form.SecretQuestionId = secretQuestion.Id;
            form.SecretQuestion = secretQuestion.QuestionText;
        }
    }
    else
    {
        //This means that they've posted from the second half - Secret Question
        //Re-authenticate with the hidden field values
        var user = AccountRepository.GetUser(form.UserName, form.Password);
        if (user != null)
        {
            if (AccountService.CheckSecretQuestion(form.SecretQuestionId, form.SecretQuestionAnswer))
            {
                //This means they should be authenticated and logged in
                //Do a redirect here (after logging them in)
            }
        }
    }

    return View(form);
}

查看 

<form>
    @if (Model.SecretQuestionId == 0) {
        //Display input for @Model.UserName
        //Display input for @Model.Password
    }
    else {
        //Display hidden input for @Model.UserName
        //Display hidden input for @Model.Password
        //Display hidden input for @Model.SecretQuestionId
        //Display @Model.SecretQuestion as text
        //Display input for @Model.SecretQuestionAnswer
    }
</form>

如果您不满意将用户名和密码发送回隐藏字段中的视图以重新进行身份验证并确保他们不会作弊...您可以创建一个HMAC或类似的东西进行测试。< / p>

顺便说一句,这个问题看起来像是一些问题......所以刚刚回答了如何使用一种视图/操作方法进行两步验证。

答案 1 :(得分:0)

我可能会做第一步让他们输入用户名和密码的事情。检查它,如果它的好,将它们移动到授权标记的视图,要求他们输入问题的答案。如果他们失败了,请将他们签出,引导他们,无论如何。我不认为这在一个视图中是可能的,除非您渲染部分视图并且如果他们离开而没有完成身份验证过程,则将其签名并清除其cookie。

---- ----- EDIT 在第二个想法,你可以做一个局部视图,只是不要formauth签署他们直到他们完成部分视图的第二部分。一些伪代码:

public ActionResult Login(){
  get username and password off the view
  if its valid
     render a partial view that asks for the secret answer
     if thats valid
       forms auth login
     else
       try again, get booted, or whatever
   else
      get booted, try again, whatever
}
相关问题
最新问题