ASP.NET MVC 5 Authentication Breakdown : Part Deux

最新推荐文章于 2025-04-02 23:17:25 发布
转载 最新推荐文章于 2025-04-02 23:17:25 发布 · 1.2k 阅读 · 0

本文提供了一步一步的指南,教你如何仅使用必要的代码将OWIN身份验证集成到ASP.NET MVC应用中,避免了VS模板带来的复杂性。

In my previous post, "ASP.NET MVC 5 Authentication Breakdown", I broke down all the parts of the new ASP.NET MVC authentication scheme. That's great, but I didn't have a working example that you, a curious developer, could download and play around with. So I set out today to figure out what the bare minimum code needed was. Fiddling around, I was able to get OWIN powered authentication into an ASP.NET MVC app. Follow this guid to get it into your application as well.

 

No fluff, just the real stuff

TL;DR go to https://github.com/khalidabuhakmeh/SimplestAuthMvc5 to clone the code.

NuGet Packages

You will need the following packages from NuGet in your presumably empty ASP.NET MVC project.

  1. Microsoft.AspNet.Identity.Core
  2. Microsoft.AspNet.Identity.Owin
  3. ASP.NET MVC 5
  4. Microsoft.Owin.Host.SystemWeb
  5. Microsoft.Owin.Security
  6. Microsoft.Owin.Security.Cookies
  7. Microsoft.Owin.Security.OAuth
  8. Owin

Notice how the majority of them center around Owin.

Start Up Classes

OWIN follows of a convention of needing a class called StartUp in your application. I followed the standard pattern of using a partial class found in the default ASP.NET MVC 5 bloated template.

Here is the main code file:

using Microsoft.Owin;
using Owin;

[assembly: OwinStartup(typeof(SimplestAuth.Startup))]

namespace SimplestAuth
{
    public partial class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            ConfigureAuthentication(app);
        }
    }
}

Followed by the implementation of the ConfigureAuthentication method:

    public partial class Startup
    {
        public void ConfigureAuthentication(IAppBuilder app)
        {
            app.UseCookieAuthentication(new CookieAuthenticationOptions
            {
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
                LoginPath = new PathString("/Login")
            });
        }
    }

Web.Config settings

OWIN doesn't use the standard forms authentication that I've grown to love, it implements something completely different. For that reason, I have to remember this snippet of config.

<system.web>
    <authentication mode="None" />
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" />
  </system.web>
  <system.webServer>
    <modules>
      <remove name="FormsAuthenticationModule" />
    </modules>
  </system.webServer>

The FormsAuthenticationModule is removed, and additionally the authentication mode is set to None. Although, I know the site will have authentication; that authentication will be handled by OWIN.

Authentication Controller

Now it's business time! Now we just need a controller to authentication and create the cookie for authentication. We'll also implement log out, because sometimes our users want to leave (not sure why though :P).

Note: I'm using AttributeRouting here. Giving it a try, but I love Restful Routing.

public class AuthenticationController : Controller
    {
        IAuthenticationManager Authentication
        {
            get { return HttpContext.GetOwinContext().Authentication; }
        }

        [GET("login")]
        public ActionResult Show()
        {
            return View();
        }

        [POST("login")]
        [ValidateAntiForgeryToken]
        public ActionResult Login(LoginModel input)
        {
            if (ModelState.IsValid)
            {
                if (input.HasValidUsernameAndPassword)
                {
                    var identity = new ClaimsIdentity(new [] {
                            new Claim(ClaimTypes.Name, input.Username),
                        },
                        DefaultAuthenticationTypes.ApplicationCookie,
                        ClaimTypes.Name, ClaimTypes.Role);

                    // if you want roles, just add as many as you want here (for loop maybe?)
                    identity.AddClaim(new Claim(ClaimTypes.Role, "guest"));
                    // tell OWIN the identity provider, optional
                    // identity.AddClaim(new Claim(IdentityProvider, "Simplest Auth"));

                    Authentication.SignIn(new AuthenticationProperties
                    {
                        IsPersistent = input.RememberMe
                    }, identity);

                    return RedirectToAction("index", "home");
                }
            }

            return View("show", input);
        }

        [GET("logout")]
        public ActionResult Logout()
        {
            Authentication.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
            return RedirectToAction("login");
        }
    }

I'll leave out the implementation of the views, because it is pretty standard Razor syntax. The thing to take note in the code above is the creation of a ClaimsIdentity. All yourcode needs to do is generate this class, and it doesn't matter from where: Database, Active Directory, Web Service, etc. The rest of the code above is really just boilerplate. You'll just need to use the AuthenticationManager from the OWIN context to SignInand SignOut.

Conclusion

There you have it. A basic breakdown of what you need to do to get OWIN authentication in your ASP.NET MVC applications without the craziness that comes standard in the Visual Studio templates. The standard templates in Visual Studio force you to use Entity Framework and has a lot of ceremony for what is essentially a really simple solution. So do yourself a favor and dump that mess and just implement something that makes more sense for you and your team.

Update

A reader ran into a nasty redirect issue in his production environment after deploying. This was a simple IIS Setup issue. If you are experiencing the same issue, please do the following in your IIS environment:

  • Disable Windows Authentication Module
  • Disable Forms Authentication Module (should have already)
  • Enable Anonymous Authentication Module

Having multiple authentication methods on can lead to very strange behaviors. Good luck and I'd love to hear how your projects are going. I also recommend you read one of my later posts on securely storing passwords.





http://www.khalidabuhakmeh.com/asp-net-mvc-5-authentication-breakdown-part-deux

ASP.NET MVC 如何使用 Form Authentication?
yangshuquan的专栏
05-09 693
.NET 的 Form Authentication 是一种基于表单的简单且灵活的身份验证机制,用户通过输入用户名和密码来登录应用程序,并且通过配置来控制用户访问权限。相比 JWT 身份验证,Form Authentication 具有简单易用、自定义性强等优点,但同时也存在 CSRF(跨站请求伪造)等安全风险,适合用在简单的 Web 应用中。
C#面:ASP.NET MVC 中如何用表单认证?
那个那个鱼的博客
08-24 643
如果验证成功,则调用 FormsAuthentication.SetAuthCookie 方法生成身份信息并存储在 Cookie中。表单认证是一种基于 Cookie 的认证方式,它通过在用户登录成功后生成一个包含用户身份信息的加密 Cookie,并将该 Cookie 发送给客户端保存。验证用户身份:在需要验证用户身份的地方,可以使用属性来判断用户是否已经通过认证。当用户发送请求时,服务器会验证该 Cookie 的有效性来确定用户的身份。在 ASP.NET MVC 中,可以使用表单认证来验证用户的身份。
SharePoint-AspNet-Authentication:Asp.Net MVC的SharePoint外接身份验证中间件(通过Owin的Asp.Net Core和Asp.Net MVC 5
05-18
SharePoint加载项Asp.Net身份验证 使用现代中间件方法对Asp.Net应用程序中的SharePoint加载项进行身份验证。 支持的Asp.Net版本: Asp.Net MVC 5 Asp.Net Core(MVC 6) 支持的加载项类型: 低信任度(SharePoint Online,低信任度方案中的SharePoint 2013 \ 2016,OAuth身份验证) 高信任度(SharePoint 2013 \ 2016,S2S身份验证)在IIS上具有集成的Windows身份验证或ADFS身份验证(Asp.Net Core的高信任度尚未实现) 通过Nuget安装软件包 Asp.Net MVC 5: Install-Package AspNet.Owin.SharePoint.Addin.AuthenticationAsp.Net Core: Inst
ASP.NET Core Authentication认证实现方法
12-17
追本溯源,从使用开始     首先看一下我们通常是如何使用微软自带的认证,一般在Startup里面配置我们所需的依赖认证服务,这里通过JWT的认证方式讲解 public void ConfigureServices(IServiceCollection services) { services.AddAuthentication(authOpt => { authOpt.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; authOpt.DefaultChallengeScheme =
MVC5 Authentication身份认证
weixin_30268071的博客
09-16 1626
Authentication身份认证方式分为两种:Windows、Forms;Windows认证方式适用于局域网。Forms认证方式既可适用于局域网,也可用于互联网。 在标准ASP.NET认证方式中 1.如何判断当前请求是一个已登录用户发起的? 如果Request.IsAuthenticated为true,则表示是一个已登录用户。 2.如何获取当前登录用户的登录名?如何获取当前用...
Asp.net mvc的FormsAuthentication验证
歇息的专栏
03-25 1219
Form验证是微软给开发人员提供的一个类,它的作用是用户登录之后,把相关信息写到cookie里面,然后设置一个过期时间,如果在这个有效时间内,用户无需登录,否则,cookie失效,用户需要重新登录。 废话不多说,先上代码: 首先,我们写一个类,这个类保存用户的基本信息,就是保存到cookie里面的信息: [Serializable()] public class Identi
关于ASP.NET MVC中Form Authentication与Windows Authentication的简单理解
写代码的蜗牛
08-14 5153
一般互联网应用,如人人网,微博,都是需要用户登录的,如果用户不登陆,就不能使用此网站。所以,这里都是用FormAuthentication,要求用户填写用户名与密码,然后登录成功后,FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token. 一般企业内部的应用,企业内部信息系统,使用Windows Auhentication.
ASP.Net MVC FormsAuthentication身份校验
ryancao530的博客
01-08 1164
ASP.Net MVC FormsAuthentication身份校验 1.IsAuthenticated验证方法 当我们用Forms认证方式的时候,可以使用HttpContext.Current.User.Identity.IsAuthenticated 来判断是否登陆;而这个判断就是依赖于这个Cookie里的信息判断用户是否登陆。 FormsAuthentication.SignOut用来清除这个Cookie标记。 在这里插入代码片 public class AuthenticationFilterA
基于.Net Framework的asp.net mvc 和Web API执行流程和周期
极客神殿
04-02 1212
ASP.NET MVC 和 Web API 的执行流程和生命周期,需要结合请求处理管道、核心组件以及生命周期方法进行阐述。RouteTableMvcHandler(生命周期钩子)ViewResultJsonResultcshtmlViewDataViewBagModelResponseWeb API 的执行流程与 MVC 类似,但更轻量级,适用于 RESTful 服务。
ASP.NET MVC中的身份验证
fdyhbycsdn的博客
10-24 1765
传统的登录验证方式,是通过将用户的登录状态信息保存在服务端的Session中,再利用客户端浏览器的Cookie保存SessionID,这样,浏览器每次在向服务端发起请求时,都会携带该Cookie值,服务端可以根据相应的SessionID来获取匹配的Session信息,并进行验证。 但在 ASP.NETMVC中则提供了AuthorizeAttribute类,可以用来限制指定的Controller或Action,只能够被满足授权要求的用户进行访问。 当使用AuthorizeAttribute标记一个Co..
ASP.NET MVC5 入门 之登录验证
07-31
ASP.NET MVC5中,身份验证通常基于OAuth、OpenID Connect或者Forms Authentication,本例可能采用Forms Authentication。 接下来,我们关注"MvcLogin.sln"文件,这是一个解决方案文件,包含了整个项目的所有组件...
毕业设计:基于ASP.NET MVC搭建的通用权限后台管理系统.zip
10-11
2. MVC(Model-View-Controller)架构:ASP.NET MVC是一种轻量级、基于模式的Web应用程序开发框架,采用MVC设计模式。模型负责处理业务逻辑,视图负责显示数据,控制器协调模型和视图之间的交互,这种分离使得代码更...
精选资源
ASP.NET MVC网上书店管理系统(课设)
01-05
2. **ASP.NET MVC框架**:ASP.NET MVC框架是.NET Framework的一部分,提供了许多内置功能,如路由、身份验证、授权、错误处理和依赖注入,简化了Web应用的开发过程。开发者可以使用C#或VB.NET编写代码,同时支持HTML...
FreeRTOS嵌入式实时操作系统内核源码架构与多平台移植支持项目_包含通用核心组件与特定微控制器编译器适配文件的实时内核系统_用于为不同硬件平台提供可裁剪的实时任务调度和资源管理.zip
12-06
FreeRTOS嵌入式实时操作系统内核源码架构与多平台移植支持项目_包含通用核心组件与特定微控制器编译器适配文件的实时内核系统_用于为不同硬件平台提供可裁剪的实时任务调度和资源管理.zip
图像分割基于遗传算法的进化聚类技术对彩色图像进行分割(Matlab代码实现)
12-06
【图像分割】基于遗传算法的进化聚类技术对彩色图像进行分割(Matlab代码实现)内容概要:本文介绍了一种基于遗传算法的进化聚类技术,用于对彩色图像进行分割,并提供了相应的Matlab代码实现。该方法结合了遗传算法的全局搜索能力与聚类算法的数据划分优势,通过迭代优化实现对彩色图像像素的有效聚类,从而完成图像分割任务。文中阐述了算法的基本原理、实现步骤以及关键参数设置,展示了该技术在处理复杂彩色图像时的有效性和鲁棒性。; 适合人群:具备一定图像处理基础和Matlab编程经验的科研人员、研究生及工程技术人员,熟悉遗传算法和聚类分析的相关理论者更佳。; 使用场景及目标:①应用于医学图像、遥感图像、目标识别等领域的图像预处理环节;②用于研究和改进现有图像分割算法,提升分割精度与效率;③作为教学案例帮助学生理解遗传算法与聚类算法的融合机制。; 阅读建议:建议读者结合提供的Matlab代码进行实践操作,深入理解算法每一步的实现逻辑,同时可通过调整遗传算法参数(如种群大小、交叉概率、变异概率)和聚类初始条
基于Matlab的太阳能-风能混合发电系统仿真模型
12-06
基于MATLAB的混合太阳能与风能发电系统建模与分析 本研究旨在构建一个集成太阳能与风能发电的综合性能源系统仿真模型。该模型采用MATLAB/Simulink平台进行开发,通过建立精确的光伏阵列与风力涡轮机数学模型,实现对混合可再生能源系统动态特性的深入探究。系统设计综合考虑了气象条件变化、负载需求波动以及储能单元配置等多重因素,以评估其在多种运行场景下的性能表现。 研究重点在于分析两种能源的互补特性,通过优化控制策略来平抑功率输出波动,提升供电可靠性与电网兼容性。仿真过程将详细考察不同季节与天气模式下系统的发电效率、能量管理逻辑以及整体经济性。最终,该模型可为实际混合可再生能源电站的规划设计、容量配置与运行优化提供理论依据与数据支持。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
2D三角洲html游戏
12-06
2D三角洲html游戏
麦麦云网站访问控制系统V10_一个基于前后端分离架构构建的用于实现网站精细化访问权限管理的专业级Web应用程序_该项目核心功能是实现对网站资源的受控访问确保只有持有有效访问密.zip
12-06
麦麦云网站访问控制系统V10_一个基于前后端分离架构构建的用于实现网站精细化访问权限管理的专业级Web应用程序_该项目核心功能是实现对网站资源的受控访问确保只有持有有效访问密.zip
东软睿道HIS医院管理系统Java实训项目
最新发布
12-06
Java是一种具备卓越性能与广泛平台适应性的高级程序设计语言,最初由Sun Microsystems(现属Oracle公司)的James Gosling及其团队于1995年正式发布。该语言在设计上追求简洁性、稳定性、可移植性以及并发处理能力,同时具备动态执行特性。其核心特征与显著优点可归纳如下: **平台无关性**:遵循“一次编写,随处运行”的理念,Java编写的程序能够在多种操作系统与硬件环境中执行,无需针对不同平台进行修改。这一特性主要依赖于Java虚拟机(JVM)的实现,JVM作为程序与底层系统之间的中间层,负责解释并执行编译后的字节码。 **面向对象范式**:Java全面贯彻面向对象的设计原则,提供对封装、继承、多态等机制的完整支持。这种设计方式有助于构建结构清晰、模块独立的代码,提升软件的可维护性与扩展性。 **并发编程支持**:语言层面集成了多线程处理能力,允许开发者构建能够同时执行多项任务的应用程序。这一特性尤其适用于需要高并发处理的场景,例如服务器端软件、网络服务及大规模分布式系统。 **自动内存管理**:通过内置的垃圾回收机制,Java运行时环境能够自动识别并释放不再使用的对象所占用的内存空间。这不仅降低了开发者在内存管理方面的工作负担,也有效减少了因手动管理内存可能引发的内存泄漏问题。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值