我正在现有系统上构建ASP.NET UI,该系统由每个项目的单独SQL Server数据库组成。 “企业”数据库列出了允许匿名用户选择要使用的项目的所有当前项目。项目名称存储在会话变量中。当需要登录时,从项目名称指示的数据库中获取用户名/密码/角色等。我已经实现了自己的基本成员资格和角色提供程序来执行此操作,并通过web.config中的更改来指定特定页面所需的角色。 (我不使用标准的ASP.NET配置工具来管理用户,我有现有的应用程序可以使用我的用户表。)
这一切似乎最初起作用,但我发现在授权系统检查当前用户所属的角色时尚未加载会话变量,以确定页面是否可访问。所以,如果我们有一个<允许roles =“xxx”>在web.config中,授权系统在加载会话数据之前触发,因此在我知道应该使用哪个项目数据库之前。
[具体来说:当调用RoleProvider.GetRolesForUser时,HttpContext.Current.Session为null]
任何解决这个问题的人都应该知道我在说什么。因此,我的问题是:
A)这种情况的“最佳实践”解决方案是什么?
B)我可以将项目名称存储在授权阶段可用的其他地方(不在会话变量中)吗?
[更新:是的 - 我们可以使用cookies,假设我们不需要无cookie操作]
C)有没有办法在此时手动获取会话变量?
我尝试了一个选项来缓存cookie中的角色,但在使用该选项进行了几分钟的测试后,我发现GetRolesForUsers仍然被调用。
由于
更新:
下面是对根问题的另一种描述,它表明“应用程序可以在缓存或应用程序对象中缓存此信息。”:
http://connect.microsoft.com/VisualStudio/feedback/details/104452/session-is-null-in-call-to-getrolesforuser
更新:
这看起来与此处发现的问题相同:
Extending the RoleProvider GetRolesForUser()
更新:
有人建议在FormsAuthenticationTicket中使用UserData,但即使没有登录也需要这些数据。
答案 0 :(得分:2)
更新:我现在通过使用通配符SSL证书以更简单的方式解决了这个问题,该证书允许我为每个项目配置子域,因此项目选择直接在URL中指定(并且每个项目都有自己的子域) 。在我们没有子域的localhost上运行时,我仍然使用cookie hack纯粹用于测试目的。
原始解决方案:
我没有找到任何“最佳实践”来写这个场景,但这是我已经解决的问题:
1)为了支持匿名用户在项目之间切换(即SQL数据库),我只需使用会话变量来跟踪项目选择。我有一个全局属性,它使用此项目选择来在需要时提供相应的SQL连接字符串。
2)为了支持对应用了角色限制的页面上的GetRolesForUser()调用,我们不能使用会话变量,因为如前所述,当实际调用GetRolesForUser()时,会话变量尚未初始化(我发现没有办法强迫它在请求周期的这个早期点。)
3)唯一的选择是使用cookie,或使用Forms Authentication票证的UserData字段。我浏览了许多关于使用链接到存储在应用程序缓存中的对象的会话/ cookie / ID的理论(当会话不存在时可用),但最终正确的选择是将此数据放在身份验证票据中。
4)如果用户登录到项目,则通过ProjectName / UserName对,因此在我们跟踪用户身份验证的任何地方,我们都需要这两个数据。在简单的测试中,我们可以使用票证中的用户名和单独的cookie中的项目名称,但这些可能会失去同步。例如,如果我们使用会话cookie作为projectname并在我们登录时勾选“记住我”(为身份验证票证创建一个永久性cookie),那么当会话cookie过期时(浏览器关闭),我们最终会得到一个用户名但没有项目名称)。因此,我手动将项目名称添加到身份验证票证的UserData字段。
5)我没有想出如何在没有明确设置cookie的情况下操纵UserData字段,这意味着我的解决方案无法在“无cookie”会话模式下工作。
最终的代码变得相对简单。
我在登录页面中覆盖了LoginView的Authenticate事件:
//
// Add project name as UserData to the authentication ticket.
// This is especially important regarding the "Remembe Me" cookie - when the authentication
// is remembered we need to know the project and user name, otherwise we end up trying to
// use the default project instead of the one the user actually logged on to.
//
// http://msdn.microsoft.com/en-us/library/kybcs83h.aspx
// http://msdn.microsoft.com/en-us/library/system.web.ui.webcontrols.login.remembermeset(v=vs.100).aspx
// http://www.hanselman.com/blog/AccessingTheASPNETFormsAuthenticationTimeoutValue.aspx
// http://www.csharpaspnetarticles.com/2009/02/formsauthentication-ticket-roles-aspnet.html
// http://www.hanselman.com/blog/HowToGetCookielessFormsAuthenticationToWorkWithSelfissuedFormsAuthenticationTicketsAndCustomUserData.aspx
// http://stackoverflow.com/questions/262636/cant-set-formsauthenicationticket-userdata-in-cookieless-mode
//
protected void LoginUser_Authenticate(object sender, AuthenticateEventArgs e)
{
string userName = LoginUser.UserName;
string password = LoginUser.Password;
bool rememberMe = LoginUser.RememberMeSet;
if ( [ValidateUser(userName, password)] )
{
// Create the Forms Authentication Ticket
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
1,
userName,
DateTime.Now,
DateTime.Now.AddMinutes(FormsAuthentication.Timeout.TotalMinutes),
rememberMe,
[ ProjectName ],
FormsAuthentication.FormsCookiePath);
// Create the encrypted cookie
HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, FormsAuthentication.Encrypt(ticket));
if (rememberMe)
cookie.Expires = DateTime.Now.AddMinutes(FormsAuthentication.Timeout.TotalMinutes);
// Add the cookie to user browser
Response.Cookies.Set(cookie);
// Redirect back to original URL
// Note: the parameters to GetRedirectUrl are ignored/irrelevant
Response.Redirect(FormsAuthentication.GetRedirectUrl(userName, rememberMe));
}
}
我有这个全局方法来返回项目名称:
/// <summary>
/// SQL Server database name of the currently selected project.
/// This name is merged into the connection string in EventConnectionString.
/// </summary>
public static string ProjectName
{
get
{
String _ProjectName = null;
// See if we have it already
if (HttpContext.Current.Items["ProjectName"] != null)
{
_ProjectName = (String)HttpContext.Current.Items["ProjectName"];
}
// Only have to do this once in each request
if (String.IsNullOrEmpty(_ProjectName))
{
// Do we have it in the authentication ticket?
if (HttpContext.Current.User != null)
{
if (HttpContext.Current.User.Identity.IsAuthenticated)
{
if (HttpContext.Current.User.Identity is FormsIdentity)
{
FormsIdentity identity = (FormsIdentity)HttpContext.Current.User.Identity;
FormsAuthenticationTicket ticket = identity.Ticket;
_ProjectName = ticket.UserData;
}
}
}
// Do we have it in the session (user not logged in yet)
if (String.IsNullOrEmpty(_ProjectName))
{
if (HttpContext.Current.Session != null)
{
_ProjectName = (string)HttpContext.Current.Session["ProjectName"];
}
}
// Default to the test project
if (String.IsNullOrEmpty(_ProjectName))
{
_ProjectName = "Test_Project";
}
// Place it in current items so we do not have to figure it out again
HttpContext.Current.Items["ProjectName"] = _ProjectName;
}
return _ProjectName;
}
set
{
HttpContext.Current.Items["ProjectName"] = value;
if (HttpContext.Current.Session != null)
{
HttpContext.Current.Session["ProjectName"] = value;
}
}
}
答案 1 :(得分:1)
你不能将项目选择回发到某个页面,将该选择添加到会话,然后重定向到适当的受保护页面,auth将启动并强行登录吗?
在您放置至少一个项目之前,不会以cookie的形式创建ASP.NET会话。