详解ASP.NET MVC Form表单验证

一、前言

  关于表单验证,已经有不少的文章,相信Web开发人员也都基本写过,最近在一个个人项目中刚好用到,在这里与大家分享一下。本来想从用户注册开始写起,但发现东西比较多,涉及到界面、前端验证、前端加密、后台解密、用户密码Hash、权限验证等等,文章写起来可能会很长,所以这里主要介绍的是登录验证和权限控制部分,有兴趣的朋友欢迎一起交流。

  一般验证方式有Windows验证和表单验证,web项目用得更多的是表单验证。原理很简单,简单地说就是利用浏览器的cookie,将验证令牌存储在客户端浏览器上,cookie每次会随请求发送到服务器,服务器验证这个令牌。通常一个系统的用户会分为多种角色:匿名用户、普通用户和管理员;这里面又可以再细分,例如用户可以是普通用户或Vip用户,管理员可以是普通管理员或超级管理员等。在项目中,我们有的页面可能只允许管理员查看,有的只允许登录用户查看,这就是角色区分(Roles);某些特别情况下,有些页面可能只允许叫“张三”名字的人查看,这就是用户区分(Users)。

  我们先看一下最后要实现的效果:

1.这是在Action级别的控制。

public class Home1Controller : Controller
{
  //匿名访问
  public ActionResult Index()
  {
    return View();
  }
  //登录用户访问
  [RequestAuthorize]
  public ActionResult Index2()
  {
    return View();
  }
  //登录用户,张三才能访问
  [RequestAuthorize(Users="张三")]
  public ActionResult Index3()
  {
    return View();
  }
  //管理员访问
  [RequestAuthorize(Roles="Admin")]
  public ActionResult Index4()
  {
    return View();
  }
}

2.这是在Controller级别的控制。当然,如果某个Action需要匿名访问,也是允许的,因为控制级别上,Action优先级大于Controller。

//Controller级别的权限控制
[RequestAuthorize(User="张三")]
public class Home2Controller : Controller
{
  //登录用户访问
  public ActionResult Index()
  {
    return View();
  }
  //允许匿名访问
  [AllowAnonymous]
  public ActionResult Index2()
  {
    return View();
  }
}

3.Area级别的控制。有时候我们会把一些模块做成分区,当然这里也可以在Area的Controller和Action进行标记。

  从上面可以看到,我们需要在各个地方进行标记权限,如果把Roles和Users硬写在程序中,不是很好的做法。我希望能更简单一点,在配置文件进行说明。例如如下配置:

<?xml version="1.0" encoding="utf-8" ?>
<!--
  1.这里可以把权限控制转移到配置文件,这样就不用在程序中写roles和users了
  2.如果程序也写了,那么将覆盖配置文件的。
  3.action级别的优先级 > controller级别 > Area级别
-->
<root>
 <!--area级别-->
 <area name="Admin">
  <roles>Admin</roles>
 </area>

 <!--controller级别-->
 <controller name="Home2">
  <user>张三</user>
 </controller>

 <!--action级别-->
 <controller name="Home1">
  <action name="Inde3">
   <users>张三</users>
  </action>
  <action name="Index4">
   <roles>Admin</roles>
  </action>
 </controller>
</root>

写在配置文件里,是为了方便管理,如果程序里也写了,将覆盖配置文件的。ok,下面进入正题。

二、主要接口

先看两个主要用到的接口。

IPrincipal 定义了用户对象的基本功能,接口定义如下:

public interface IPrincipal
{
  //标识对象
  IIdentity Identity { get; }
  //判断当前角色是否属于指定的角色
  bool IsInRole(string role);
}

它有两个主要成员,IsInRole用于判断当前对象是否属于指定角色的,IIdentity定义了标识对象信息。HttpContext的User属性就是IPrincipal类型的。

IIdentity 定义了标识对象的基本功能,接口定义如下:

public interface IIdentity
{
  //身份验证类型
  string AuthenticationType { get; }
  //是否验证通过
  bool IsAuthenticated { get; }
  //用户名
  string Name { get; }
}

IIdentity包含了一些用户信息,但有时候我们需要存储更多信息,例如用户ID、用户角色等,这些信息会被序列到cookie中加密保存,验证通过时可以解码再反序列化获得,状态得以保存。例如定义一个UserData。

public class UserData : IUserData
{
  public long UserID { get; set; }
  public string UserName { get; set; }
  public string UserRole { get; set; }

  public bool IsInRole(string role)
  {
    if (string.IsNullOrEmpty(role))
    {
      return true;
    }
    return role.Split(',').Any(item => item.Equals(this.UserRole, StringComparison.OrdinalIgnoreCase));
  }

  public bool IsInUser(string user)
  {
    if (string.IsNullOrEmpty(user))
    {
      return true;
    }
    return user.Split(',').Any(item => item.Equals(this.UserName, StringComparison.OrdinalIgnoreCase));
  }
}

  UserData实现了IUserData接口,该接口定义了两个方法:IsInRole和IsInUser,分别用于判断当前用户角色和用户名是否符合要求。该接口定义如下:

public interface IUserData
{
  bool IsInRole(string role);
  bool IsInUser(string user);
}
  接下来定义一个Principal实现IPrincipal接口,如下:
public class Principal : IPrincipal
{
  public IIdentity Identity{get;private set;}
  public IUserData UserData{get;set;}

  public Principal(FormsAuthenticationTicket ticket, IUserData userData)
  {
    EnsureHelper.EnsureNotNull(ticket, "ticket");
    EnsureHelper.EnsureNotNull(userData, "userData");
    this.Identity = new FormsIdentity(ticket);
    this.UserData = userData;
  }

  public bool IsInRole(string role)
  {
    return this.UserData.IsInRole(role);
  }   

  public bool IsInUser(string user)
  {
    return this.UserData.IsInUser(user);
  }
}

  Principal包含IUserData,而不是具体的UserData,这样很容易更换一个UserData而不影响其它代码。Principal的IsInRole和IsInUser间接调用了IUserData的同名方法。

三、写入cookie和读取cookie

  接下来,需要做的就是用户登录成功后,创建UserData,序列化,再利用FormsAuthentication加密,写到cookie中;而请求到来时,需要尝试将cookie解密并反序列化。如下:

public class HttpFormsAuthentication
{
  public static void SetAuthenticationCookie(string userName, IUserData userData, double rememberDays = 0)
  {
    EnsureHelper.EnsureNotNullOrEmpty(userName, "userName");
    EnsureHelper.EnsureNotNull(userData, "userData");
    EnsureHelper.EnsureRange(rememberDays, "rememberDays", 0);

    //保存在cookie中的信息
    string userJson = JsonConvert.SerializeObject(userData);

    //创建用户票据
    double tickekDays = rememberDays == 0 ? 7 : rememberDays;
    var ticket = new FormsAuthenticationTicket(2, userName,
      DateTime.Now, DateTime.Now.AddDays(tickekDays), false, userJson);

    //FormsAuthentication提供web forms身份验证服务
    //加密
    string encryptValue = FormsAuthentication.Encrypt(ticket);

    //创建cookie
    HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptValue);
    cookie.HttpOnly = true;
    cookie.Domain = FormsAuthentication.CookieDomain;

    if (rememberDays > 0)
    {
      cookie.Expires = DateTime.Now.AddDays(rememberDays);
    }
    HttpContext.Current.Response.Cookies.Remove(cookie.Name);
    HttpContext.Current.Response.Cookies.Add(cookie);
  }

  public static Principal TryParsePrincipal<TUserData>(HttpContext context)
    where TUserData : IUserData
  {
    EnsureHelper.EnsureNotNull(context, "context");

    HttpRequest request = context.Request;
    HttpCookie cookie = request.Cookies[FormsAuthentication.FormsCookieName];
    if(cookie == null || string.IsNullOrEmpty(cookie.Value))
    {
      return null;
    }
    //解密cookie值
    FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(cookie.Value);
    if(ticket == null || string.IsNullOrEmpty(ticket.UserData))
    {
      return null;
    }
    IUserData userData = JsonConvert.DeserializeObject<TUserData>(ticket.UserData);
    return new Principal(ticket, userData);
  }
}

  在登录时,我们可以类似这样处理:

public ActionResult Login(string userName,string password)
{
  //验证用户名和密码等一些逻辑... 

  UserData userData = new UserData()
  {
    UserName = userName,
    UserID = userID,
    UserRole = "Admin"
  };
  HttpFormsAuthentication.SetAuthenticationCookie(userName, userData, 7);

  //验证通过...
}

  登录成功后,就会把信息写入cookie,可以通过浏览器观察请求,就会有一个名称为"Form"的Cookie(还需要简单配置一下配置文件),它的值是一个加密后的字符串,后续的请求根据此cookie请求进行验证。具体做法是在HttpApplication的AuthenticateRequest验证事件中调用上面的TryParsePrincipal,如:

protected void Application_AuthenticateRequest(object sender, EventArgs e)
{
  HttpContext.Current.User = HttpFormsAuthentication.TryParsePrincipal<UserData>(HttpContext.Current);
}

  这里如果验证不通过,HttpContext.Current.User就是null,表示当前用户未标识。但在这里还不能做任何关于权限的处理,因为上面说到的,有些页面是允许匿名访问的。

三、AuthorizeAttribute

  这是一个Filter,在Action执行前执行,它实现了IActionFilter接口。关于Filter,可以看我之前的这篇文章,这里就不多介绍了。我们定义一个RequestAuthorizeAttribute继承AuthorizeAttribute,并重写它的OnAuthorization方法,如果一个Controller或者Action标记了该特性,那么该方法就会在Action执行前被执行,在这里判断是否已经登录和是否有权限,如果没有则做出相应处理。具体代码如下:

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class RequestAuthorizeAttribute : AuthorizeAttribute
{
  //验证
  public override void OnAuthorization(AuthorizationContext context)
  {
    EnsureHelper.EnsureNotNull(context, "httpContent");
    //是否允许匿名访问
    if (context.ActionDescriptor.IsDefined(typeof(AllowAnonymousAttribute), false))
    {
      return;
    }
    //登录验证
    Principal principal = context.HttpContext.User as Principal;
    if (principal == null)
    {
      SetUnAuthorizedResult(context);
      HandleUnauthorizedRequest(context);
      return;
    }
    //权限验证
    if (!principal.IsInRole(base.Roles) || !principal.IsInUser(base.Users))
    {
      SetUnAuthorizedResult(context);
      HandleUnauthorizedRequest(context);
      return;
    }
    //验证配置文件
    if(!ValidateAuthorizeConfig(principal, context))
    {
      SetUnAuthorizedResult(context);
      HandleUnauthorizedRequest(context);
      return;
    }
  }

  //验证不通过时
  private void SetUnAuthorizedResult(AuthorizationContext context)
  {
    HttpRequestBase request = context.HttpContext.Request;
    if (request.IsAjaxRequest())
    {
      //处理ajax请求
      string result = JsonConvert.SerializeObject(JsonModel.Error(403));
      context.Result = new ContentResult() { Content = result };
    }
    else
    {
      //跳转到登录页面
      string loginUrl = FormsAuthentication.LoginUrl + "?ReturnUrl=" + preUrl;
      context.Result = new RedirectResult(loginUrl);
    }
  }

  //override
  protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
  {
    if(filterContext.Result != null)
    {
      return;
    }
    base.HandleUnauthorizedRequest(filterContext);
  }
}

  注:这里的代码摘自个人项目中的,简写了部分代码,有些是辅助类,代码没有贴出,但应该不影响阅读。

  1. 如果我们在HttpApplication的AuthenticateRequest事件中获得的IPrincipal为null,那么验证不通过。

  2. 如果验证通过,程序会进行验证AuthorizeAttribute的Roles和User属性。

  3. 如果验证通过,程序会验证配置文件中对应的Roles和Users属性。

  验证配置文件的方法如下:

  private bool ValidateAuthorizeConfig(Principal principal, AuthorizationContext context)
  {
    //action可能有重载,重载时应该标记ActionName区分
    ActionNameAttribute actionNameAttr = context.ActionDescriptor
      .GetCustomAttributes(typeof(ActionNameAttribute), false)
      .OfType<ActionNameAttribute>().FirstOrDefault();
    string actionName = actionNameAttr == null ? null : actionNameAttr.Name;
    AuthorizationConfig ac = ParseAuthorizeConfig(actionName, context.RouteData);
    if (ac != null)
    {
      if (!principal.IsInRole(ac.Roles))
      {
        return false;
      }
      if (!principal.IsInUser(ac.Users))
      {
        return false;
      }
    }
    return true;
  }

  private AuthorizationConfig ParseAuthorizeConfig(string actionName, RouteData routeData)
  {
    string areaName = routeData.DataTokens["area"] as string;
    string controllerName = null;
    object controller, action;
    if(string.IsNullOrEmpty(actionName))
    {
      if(routeData.Values.TryGetValue("action", out action))
      {
        actionName = action.ToString();
      }
    }
    if (routeData.Values.TryGetValue("controller", out controller))
    {
      controllerName = controller.ToString();
    }
    if(!string.IsNullOrEmpty(controllerName) && !string.IsNullOrEmpty(actionName))
    {
      return AuthorizationConfig.ParseAuthorizationConfig(
        areaName, controllerName, actionName);
    }
    return null;
  }
}

  可以看到,它会根据当前请求的area、controller和action名称,通过一个AuthorizationConfig类进行验证,该类的定义如下:

public class AuthorizationConfig
{
  public string Roles { get; set; }
  public string Users { get; set; }

  private static XDocument _doc;

  //配置文件路径
  private static string _path = "~/Identity/Authorization.xml";

  //首次使用加载配置文件
  static AuthorizationConfig()
  {
    string absPath = HttpContext.Current.Server.MapPath(_path);
    if (File.Exists(absPath))
    {
      _doc = XDocument.Load(absPath);
    }
  }

  //解析配置文件,获得包含Roles和Users的信息
  public static AuthorizationConfig ParseAuthorizationConfig(string areaName, string controllerName, string actionName)
  {
    EnsureHelper.EnsureNotNullOrEmpty(controllerName, "controllerName");
    EnsureHelper.EnsureNotNullOrEmpty(actionName, "actionName");

    if (_doc == null)
    {
      return null;
    }
    XElement rootElement = _doc.Element("root");
    if (rootElement == null)
    {
      return null;
    }
    AuthorizationConfig info = new AuthorizationConfig();
    XElement rolesElement = null;
    XElement usersElement = null;
    XElement areaElement = rootElement.Elements("area")
      .Where(e => CompareName(e, areaName)).FirstOrDefault();
    XElement targetElement = areaElement ?? rootElement;
    XElement controllerElement = targetElement.Elements("controller")
      .Where(e => CompareName(e, controllerName)).FirstOrDefault();

    //如果没有area节点和controller节点则返回null
    if (areaElement == null && controllerElement == null)
    {
      return null;
    }
    //此时获取标记的area
    if (controllerElement == null)
    {
      rootElement = areaElement.Element("roles");
      usersElement = areaElement.Element("users");
    }
    else
    {
      XElement actionElement = controllerElement.Elements("action")
        .Where(e => CompareName(e, actionName)).FirstOrDefault();
      if (actionElement != null)
      {
        //此时获取标记action的
        rolesElement = actionElement.Element("roles");
        usersElement = actionElement.Element("users");
      }
      else
      {
        //此时获取标记controller的
        rolesElement = controllerElement.Element("roles");
        usersElement = controllerElement.Element("users");
      }
    }
    info.Roles = rolesElement == null ? null : rolesElement.Value;
    info.Users = usersElement == null ? null : usersElement.Value;
    return info;
  }

  private static bool CompareName(XElement e, string value)
  {
    XAttribute attribute = e.Attribute("name");
    if (attribute == null || string.IsNullOrEmpty(attribute.Value))
    {
      return false;
    }
    return attribute.Value.Equals(value, StringComparison.OrdinalIgnoreCase);
  }
}

这里的代码比较长,但主要逻辑就是解析文章开头的配置信息。

简单总结一下程序实现的步骤:

  1. 校对用户名和密码正确后,调用SetAuthenticationCookie将一些状态信息写入cookie。

  2. 在HttpApplication的Authentication事件中,调用TryParsePrincipal获得状态信息。

  3. 在需要验证的Action(或Controller)标记 RequestAuthorizeAttribute特性,并设置Roles和Users;Roles和Users也可以在配置文件中配置。

  4. 在RequestAuthorizeAttribute的OnAuthorization方法中进行验证和权限逻辑处理。

四、总结

  上面就是整个登录认证的核心实现过程,只需要简单配置一下就可以实现了。但实际项目中从用户注册到用户管理整个过程是比较复杂的,而且涉及到前后端验证、加解密问题。关于安全问题,FormsAuthentication在加密的时候,会根据服务器的MachineKey等一些信息进行加密,所以相对安全。当然,如果说请求被恶意拦截,然后被伪造登录还是有可能的,这是后面要考虑的问题了,例如使用安全的http协议https。

以上就是本文的全部内容,希望对大家的学习有所帮助。

(0)

相关推荐

  • Asp.net Mvc表单验证气泡提示效果

    本文实例为大家分享了Asp.net Mvc表单验证的制作代码,供大家参考,具体内容如下 将ASP.NET MVC或ASP.NET Core MVC的表单验证改成气泡提示: //新建一个js文件(如:jquery.validate.Bubble.js),在所有要验证的页面引用 (function ($) { $("form .field-validation-valid,form .field-validation-error") .each(function () { var tip

  • 支持ASP.NET MVC、WebFroM的表单验证框架ValidationSuar使用介绍

    1.支持javascript端和后端的双重验证 (前端目前依赖于jquery.validate.js,也可以自已扩展) 2.代码简洁 3.调用方便 4.功能齐全 使用方法: 新建初始化类,将所有需要验证的在该类进行初始化,语法相当简洁并且可以统一管理,写完这个类你的验证就完成了70% 函数介绍: Add 默认类型(邮件.手机.qq等) AddRegex 正则验证 在Add无法满足情部下使用 addFunc 使用js函数进行验证,一般用于业逻辑的验证 ,功能非常强大,可以满足各种验证(注意:add

  • asp.net 表单验证新思路

    简要说明:随机验证某一项或几项.减少验证工作量. 复制代码 代码如下: public static int IntRound(int Max) { Random r = new Random(); int i = r.Next(0, Max); r = null; return i; } 复制代码 代码如下: int i=IntRound(8); if (Request.Form["txt" + i] != "") { } 也可以这样验证 (不过,要注意其他非正常表

  • ASP.NET表单验证方法详解第1/2页

    1.使用验证控件 这属于客户端验证,微软开发人员将最常用的验证功能进行了封装,使得我们开发效率明显提高,而且特别是自定义验证控件,非常灵活,我们可以自行设计验证逻辑.但是验证控件收到了浏览器的限制,记得在一次开发过程中,使用FireFox浏览器进行浏览,发现所有的验证控件失灵,这个并非是ASP.NET设计的漏洞,只能说浏览器标准的不唯一造成的. ASP.NET公有六种验证控件,分别如下: RequiredFieldValidator(必须字段验证) 用于检查是否有输入值 CompareValid

  • 详解ASP.NET MVC Form表单验证

    一.前言 关于表单验证,已经有不少的文章,相信Web开发人员也都基本写过,最近在一个个人项目中刚好用到,在这里与大家分享一下.本来想从用户注册开始写起,但发现东西比较多,涉及到界面.前端验证.前端加密.后台解密.用户密码Hash.权限验证等等,文章写起来可能会很长,所以这里主要介绍的是登录验证和权限控制部分,有兴趣的朋友欢迎一起交流. 一般验证方式有Windows验证和表单验证,web项目用得更多的是表单验证.原理很简单,简单地说就是利用浏览器的cookie,将验证令牌存储在客户端浏览器上,co

  • 详解Angular Reactive Form 表单验证

    本文我们将介绍 Reactive Form 表单验证的相关知识,具体内容如下: 使用内建的验证规则 动态调整验证规则 自定义验证器 自定义验证器 (支持参数) 跨字段验证 基础知识 内建验证规则 Angular 提供了一些内建的 validators,我们可以在 Template-Driven 或 Reactive 表单中使用它们. 目前 Angular 支持的内建 validators 如下: required - 设置表单控件值是非空的. email - 设置表单控件值的格式是 email.

  • 详解ASP.NET MVC的整个生命周期

    目录 一.介绍 二.MVC生命周期详述 View的初始化和渲染呈现 三.结束 一.介绍 我们做开发的,尤其是做微软技术栈的,有一个方向是跳不过去的,那就是MVC开发.我相信大家,做ASP.NET MVC 开发有的有很长时间,当然,也有刚进入这个行业的.无论如何,如果有人问你,你知道ASP.NET MVC的生命周期吗?你知道它的来世今生吗?你知道它和 ASP.NET WEBFORM 有什么区别吗?估计,这些问题,有很多人会答不上来,或者说不清楚.今天,我就把我的理解写出来,也是对我自己学习的一次回

  • 详解Vue里循环form表单项实例

    有的时候我们可能会遇到这种需求,用户点击某个按钮就可以增加一个同样的表单出来,点击一次增加一次.然后要用到深拷贝,Vue.js+ElementUI等等.效果大概如下,就是一个表单有下拉框和两个输入框,现在点击"添加表单"按钮之后就会多一个表单出来,点击"提交表单"后就同时提交两个表单的value值. 代码如下: <template> <div> <div style="margin: 10px 0"> <

  • vue+element-ui集成随机验证码+用户名+密码的form表单验证功能

    在登入页面,我们往往需要通过输入验证码才能进行登入,那我们下面就详讲一下在vue项目中如何配合element-ui实现这个功能 第一步:自定义一个生产随机验证码的组件,其本质是使用canvas绘制,详细代码如下: <template> <div class="s-canvas"> <canvas id="s-canvas" :width="contentWidth" :height="contentHeig

  • 基于javascript的Form表单验证

    Form表单验证: js基础考试内容,form表单验证,正则表达式,blur事件,自动获取数组,以及css布局样式,动态清除等.完整代码如下: <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>form-lpb</title> <style> body { back

  • JS组件Form表单验证神器BootstrapValidator

    本文为大家分享了JS组件Form表单验证神器BootstrapValidator,供大家参考,具体内容如下 1.初级用法 来看bootstrapvalidator的描述:A jQuery form validator for Bootstrap 3.从描述中我们就可以知道它至少需要jQuery.bootstrap的支持.我们首先引入需要的js组件: <script src="~/Scripts/jquery-1.10.2.js"></script> <sc

  • 基于Bootstrap+jQuery.validate实现Form表单验证

    基于Bootstrap jQuery.validate Form表单验证实践项目结构 : github 上源码地址:https://github.com/starzou/front-end-example 1.form 表单代码[html] 复制代码 代码如下: <!DOCTYPE html>  <html>      <head>          <title>Bootstrap Form Template</title>         

  • 基于BootstrapValidator的Form表单验证(24)

    Form表单进行数据验证是十分必要的,我们可以自己写JS脚本或者使用JQuery Validate 插件来实现.对于Bootstrap而言,利用BootstrapValidator来做Form表单验证是个相当不错的选择,两者完全兼容,我们也不用去关注CSS样式等美工效果. 0x01 引入BootstrapValidator 官网:BootstrapValidator,作为一个纯粹的使用者,我们可以在上面的链接处下载相关文件并引入,也可以利用CDN方式引入: <link href="//cd

  • Python中使用django form表单验证的方法

    一. django form表单验证引入 有时时候我们需要使用get,post,put等方式在前台HTML页面提交一些数据到后台处理例 ; <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Form</title> </head> <body> <div> <for

随机推荐