前面的文章中為My Blog加入了文章的管理功能(ASP.NET沒有魔法——ASP.NET MVC使用Area開發一個管理模塊),但是管理功能應該只能由“作者”來訪問,那麼要如何控制用戶的訪問許可權?也就是當用戶訪問管理功能時需要對用戶進行身份驗證,對於用戶來說身份驗證也就是登錄,即提供一個登錄界面, ...
前面的文章中為My Blog加入了文章的管理功能(ASP.NET沒有魔法——ASP.NET MVC使用Area開發一個管理模塊),但是管理功能應該只能由“作者”來訪問,那麼要如何控制用戶的訪問許可權?也就是當用戶訪問管理功能時需要對用戶進行身份驗證,對於用戶來說身份驗證也就是登錄,即提供一個登錄界面,通過賬號密碼的形式登錄後就可以訪問受限制的內容。
本文將從以下幾個方面介紹ASP.NET MVC是如何實現用戶身份驗證的:
● Web中的身份驗證
● ASP.NET的Identity組件介紹
● ASP.NET MVC中使用Identity——組件安裝
● ASP.NET MVC中使用Identity——EntityFramework
● ASP.NET MVC中使用Identity——註冊功能的實現
● ASP.NET MVC中使用Identity——登錄功能的實現
● ASP.NET MVC中使用Identity——身份驗證功能的實現
註:本文的目的是介紹在已存在的項目中如何使用Identity組件來添加用戶註冊、登錄和驗證的功能,所以內容會比較細瑣,後續會對Identity中比較關鍵的點進行介紹,如用戶密碼的加解密、Cookie的生成與驗證,Identity與Owin等等方面進行深入分析介紹。
Web中的身份驗證
Web應用作為一種特殊的應用軟體系統,它是基於HTTP協議的,由於HTTP的獨特性(無狀態)所以每一次訪問都是獨立的、不攜帶上一次請求信息的,所以現在常用的身份驗證方式都是通過Cookie或者url查詢字元串的形式來保存“狀態”信息,達到每次訪問伺服器,伺服器都能“知道”用戶身份的目的。
ASP.NET作為一個Web程式的開發框架,提供了一些身份驗證的方式如From驗證,它通過用戶提到的伺服器的用戶特征(如用戶名、密碼等)生成一個加密的Cookie信息,後續請求中將帶著該Cookie信息證明用戶身份。下圖是博客園中的Cookie信息:
隨著軟體系統的發展,普通的身份驗證已經不能滿足系統的需求,如登錄時候的二次驗證、第三方賬號登錄、用戶授權等。所以ASP.NET又針對這些需求開發了Identity組件(Identity的前身為MemberShip)。
ASP.NET的Identity組件介紹
Identity用來快速為ASP.NET應用程式搭建一個完善的身份驗證系統。它可以支持ASP.NET框架下的所有程式身份驗證,並通過EF Code First來支持用戶數據的持久化,並集成OWIN來解耦不再依賴System.Web。另外它還支持第三方賬號登錄、簡訊/郵件二次驗證等高級功能。
Identity主要的組件如下:
● Microsoft.AspNet.Identity.Core:Identity的核心類庫,實現了身份驗證的核心功能,並提供了拓展介面。
● Microsoft.AspNet.Identity.EntityFramework:Identity數據持久化的EF實現。
● Microsoft.AspNet.Identity.OWIN:基於Identity的OWIN身份驗證插件,它代替了原有的Form驗證。
● Microsoft.Owin.Host.SystemWeb:Owin的IIS宿主,將IIS的接收到的請求轉入Owin處理。
ASP.NET MVC中使用Identity——組件安裝
1. 通過Nuget來安裝Microsoft.AspNet.Identity.EntityFramework(已包含Microsoft.AspNet.Identity.Core):
2. 安裝Microsoft.AspNet.Identity.OWIN:
3. 安裝Microsoft.Owin.Host.SystemWeb:
ASP.NET MVC中使用Identity——EntityFramework
上面介紹過Identity支持EF的code first,那麼自然就會想到實體與DBContext,那麼在Identity中它們是怎麼實現的呢?
1. Identity中的實體:
以User信息為例,Microsoft.AspNet.Identity.Core類庫中提供了User的核心介面:
它的具體實現則位於Microsoft.AspNet.Identity.EntityFramework中:
除了User外,Identity還定義了Role、UserClaim、UserLogin以及UserRole這些實體,如下圖:
2. Identity中的DBContext:
在Microsoft.AspNet.Identity.EntityFramework中提供了一個IdentityDbContext類型(註:其它IdentityDbContext的泛型實現是用於對實體進行拓展的,如果沒有拓展需求,那麼使用非泛型類型即可)。
3. 在ASP.NET MVC項目中使用Identity提供的DbContext(註:本例中的代碼大部分參考ASP.NET MVC預設模板代碼):
1). 繼承IdentityDbContext<TUser>類型,實現自己的DbContext(註:通過繼承來使用Identity的DbContext可以靈活的根據需求來改變DbContext及其實體的配置)。
2). 使用enable-migrations命令啟用自動遷移,併在BlogIdentityDbContext中設置自動將資料庫更新至模型最新版本:
自動遷移(即無需使用add-migration命令來添加資料庫結構變更):
自動將資料庫更新到模型最新版本:
註:本例基於My Blog的MySQL資料庫實現,在更新資料庫時為避免一下錯誤,所以在OnModelCreating中加入了兩個對象的主鍵。
3). 在web.config中加入MySQL的EF配置以及一個名稱為"DefaultConnection"的連接字元串(因為上面的DbContext構造方法中指定了參數DefaultConnection):
連接字元串:與BlogContext共用同一個資料庫:
註:此處要說明兩點,第一是使用配置文件的形式來配置EF的MySQL配置原因是,MyBlog中沒有引用EF MySQL的組件,無法使用代碼,只有等編譯完成後把所有依賴的程式集複製到bin目錄下,啟動程式時通過配置文件解析。第二點是現在在整個解決方案中引入了兩個DBContext,多個DBContext是可以共存的,只要對其進行正確的配置並提供正確的連接字元串。如果一個項目中有多個DBContext時,對其進行遷移操作就需要通過參數指定被操作的DbContext,可以參考這篇文章:http://www.cnblogs.com/Jack-Blog/p/4699596.html
4). 可以執行update-database命令將DbContext同步到資料庫中(因為設置了資料庫自動同步,所以也可以等待後面運行程式時自動同步):
ASP.NET MVC中使用Identity——註冊功能的實現
在ASP.NET MVC中實現註冊功能之前,先要瞭解一下Identity組件提供的業務邏輯“層”(註:這裡說“層”僅僅是為了對應現有的項目結構,有數據層和邏輯層,其實在Identity中也是這樣劃分的,雖然它們都在同一個程式集中)。
Identity中提供了RoleManager、UserManager等業務邏輯的實現類型,下圖是UserManager的定義:
從圖中可以看出,它已經具有創建用戶、添加角色等邏輯的實現,所以對於註冊功能來說僅需要調用UserManager的對應方法即可。下麵就介紹如何添加註冊功能:
1. 添加註冊使用的ViewModel:
2. 創建AccountController以及Register Action方法:
註:UserManager依賴UserStore,UserStore又依賴於DbContext,也就是說業務邏輯依賴倉儲,倉儲又依賴資料庫操作的實現。
3. 創建View:
4. 在佈局頁面中加入註冊鏈接:
5. 運行:
資料庫結果:
ASP.NET MVC中使用Identity——登錄功能的實現
登錄功能的目的是對用戶提交到伺服器的用戶名和密碼進行驗證,驗證成功後生成一個包含用戶信息的加密的字元串並以Cookie的形式返回到客戶端。
登錄功能的實現方法與註冊差不多就是添加視圖模型、Action和View,然後在Action中調用Identity的用戶驗證方法即可:
1. 創建ViewModel:
2. 添加登錄Action(註:sigInManager封裝了登錄的業務邏輯包括寫Cookie):
3. 添加View併在佈局頁面加入登錄鏈接:
4. 運行效果:
註:現在還未添加訪問的限制,所以登錄與不登錄其實上是一樣的。
ASP.NET MVC中使用Identity——身份驗證功能的實現
用戶完成登錄操作後僅僅是在Cookie中多了一個用戶信息,如果不對該信息進行驗證那麼這個信息是沒有作用的,ASP.NET中沒有魔法,它任何的操作都是有代碼在後面支撐,那用於支撐Identity的身份驗證的代碼是什麼呢?之前在介紹Identity時提到過它是通過Owin來與Web伺服器解耦的,Owin它是Web伺服器處理HTTP請求的一個規範,而它在IIS中是一個httpModule擴展(關於Owin後續會進行詳細介紹)。總的來說在IIS中Owin以HttpModule的拓展方式,為HTTP的請求處理又添加了一個處理管道。
那麼Identity與Owin的集成實際上是在Owin的處理管道中,來讀取請求數據中的登錄後生成的Cookie並驗證,實現的具體方式如下:
1. 創建一個Owin Startup類文件:
2. 在Configuration方法中添加Cookie驗證的中間件,當未登錄訪問受限內容時自動跳轉登錄頁面:
3. 為需要限制訪問的Controller添加Authorize特性:
4. 在佈局文件中添加邏輯判斷,當登錄成功後顯示用戶名,未登錄時顯示登錄鏈接:
5. 運行:
訪問受限頁面admin/home/index(未登錄將跳轉):
登錄後能夠訪問被限制的內容:
登錄後的首頁(由於樣式問題”歡迎 admin“字元串與背景同色( ╯□╰ )):
小結
本章主要內容是對ASP.NET 身份驗證以及Identity進行了簡要的介紹,然後解釋了在ASP.NET MVC中是如何通過Identity實現用戶的註冊、登錄和身份驗證的。本例的代碼主要參考並簡化了預設的ASP.NET MVC帶有獨立身份驗證的模板代碼,所以如有需要可對照模板代碼進行對比。
另外要註意的是通過模板建立的註冊、登錄都是帶有模型數據驗證的,但本例中沒有加入,關於模型的驗證會在後續介紹。
參考:
http://johnatten.com/2014/04/20/asp-net-mvc-and-identity-2-0-understanding-the-basics/
https://docs.microsoft.com/en-us/aspnet/identity/overview/getting-started/adding-aspnet-identity-to-an-empty-or-existing-web-forms-project
https://msdn.microsoft.com/zh-cn/library/azure/ms789031(v=vs.90).aspx
http://www.cnblogs.com/dinglang/archive/2012/06/03/2532664.html
http://www.cnblogs.com/xzwblog/archive/2017/05/10/6834663.html
本文鏈接:http://www.cnblogs.com/selimsong/p/7723827.html
