使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

  1. 客户端使用用户名跟密码请求登录
  2. 服务端收到请求,去验证用户名与密码
  3. 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
  4. 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
  5. 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
  6. 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据

一,用户点击登录时 对用户名密码进行检查。 当状态为Success   进而通过用户名密码去生成一个身份验证的令牌

从而对令牌进行加密 生成Token  然后放入Cookie里

        public ActionResult Login(LoginViewModel model, string returnUrl)

        {

            if (!ModelState.IsValid)

            {

                return View(model);

            }

            LoginManager loginManager = new LoginManager();

            var result = loginManager.SignIn(model.Email, model.Password);

            if (result == LoginState.Success)

            {

                var role = loginManager.GetUserRoleByEmailAsync(model.Email);

                //通过用户名(邮箱) 密码生成一个ticket令牌

                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(, model.Email, DateTime.Now,

                    DateTime.Now.AddMinutes(), true, string.Format("{0}&{1}", model.Email, model.Password));

                //加密

                var Token = FormsAuthentication.Encrypt(ticket);

                System.Web.HttpContext.Current.Session["UserName"]=model.Email;

                System.Web.HttpContext.Current.Session["Role"] = role;

                //将Token加入到cookie  并设置为5天过期

                var cookie = new HttpCookie("Token", Token)

                {

                    Expires = DateTime.Now.AddDays()

                };

                Response.Cookies.Add(cookie);

                if (returnUrl != null)

                {

                    return Redirect(returnUrl);

                }

                return Redirect("/Home/Chat");

            }

            return View();

}

二,继承并重写 AuthorizeAttribute 中的 OnAuthorization

这里 我建了个XML文件用来存放action的角色权限

用来对方法访问的控制。  这里会解析token 然后进行匹配

<?xml version="1.0" encoding="utf-8" ?>

<Roles>

  <Controller name="Home">

    <Action name="Index"></Action>

    <Action name="Chat">Admin,VIP5,VIP4</Action>

  </Controller>

    <Controller name="Account">

    <Action name="Index"></Action>

    <Action name="GETint">Admin,VIP5,VIP4</Action>

  </Controller>

</Roles>
   public class MVCAuthorize : AuthorizeAttribute

    {

        public new string Roles { get; set; } //这个是从Action中传过来的角色

        public override void OnAuthorization(AuthorizationContext actionContext)

        {

            var token = actionContext.HttpContext.Request.Params["Token"];

            if (!string.IsNullOrEmpty(token))

            {

                string controllerName = actionContext.ActionDescriptor.ControllerDescriptor.ControllerName; //得到控制器名称

                string actionName = actionContext.ActionDescriptor.ActionName;//得到Action名称

                string roles = GetActionRoles(actionName, controllerName); // 在Xml文件中根据控制器 Action 找到对应的访问角色权限

                if (!string.IsNullOrWhiteSpace(roles))

                {

                    this.Roles = Roles + "," + roles;

                    var isAuthValidate = ValidateTicket(token, Roles);

                    if (isAuthValidate != AuthorizeState.ValidateSuucss)

                    {

                        base.HandleUnauthorizedRequest(actionContext);

                    }

                }

            }
            else{
             base.HandleUnauthorizedRequest(actionContext);
           }

        }

        //获取当前Action的访问角色

        public static string GetActionRoles(string action, string controller)

        {

            XElement rootElement = XElement.Load(HttpContext.Current.Server.MapPath("/") + "/XML/RoleAction.xml");

            XElement controllerElement = findElementByAttribute(rootElement, "Controller", controller);

            if (controllerElement != null)

            {

                XElement actionElement = findElementByAttribute(controllerElement, "Action", action);

                if (actionElement != null)

                {

                    return actionElement.Value;

                }

            }

            return "";

        }

        public static XElement findElementByAttribute(XElement xElement, string tagName, string attribute)

        {

            return xElement.Elements(tagName).FirstOrDefault(x => x.Attribute("name").Value.Equals(attribute, StringComparison.OrdinalIgnoreCase));

        }

        //校验用户名密码(对Session匹配,或数据库数据匹配)

        private AuthorizeState ValidateTicket(string encryptToken,string role)

        {

            if (encryptToken == null)

            {

                return AuthorizeState.TokenErro;

            }

            //解密Ticket

            var strTicket = FormsAuthentication.Decrypt(encryptToken).UserData;

            //从Ticket里面获取用户名和密码

            var index = strTicket.IndexOf("&");

            string userName = strTicket.Substring(, index);

            string password = strTicket.Substring(index + );

            ArrayList arrayList = new ArrayList(role.Split(','));

            var roleName = HttpContext.Current.Session["Role"].ToString();

            var name = HttpContext.Current.Session["UserName"].ToString();

            //取得session,不通过说明用户退出,或者session已经过期

            if (arrayList.Contains(roleName) && name == userName)  //获取对应控制器 对应方法的访问角色权限 如果包含说明符合访问 否则返回权限错误

            {

                return AuthorizeState.ValidateSuucss;

            }

            else

            {

                return AuthorizeState.UserValidateErro;

            }

        }

    }

当我们去访问这个方法时。他会先进行身份验证。进入MVCAuthorize中。 这里你可以扩展开来。 比如我临时需要对这个方法在多开放些角色 ,可以直接在action 带上

        [MVCAuthorize(Roles = "VIP9,ActiveUser")]

        public ActionResult Chat()

        {

            var account = HttpContext.User.Identity.Name;

            ModelDBContext db = new ModelDBContext();

            //ViewBag.UserName =db.User.Where(x=>x.Email == account).FirstOrDefault().FullName;

            return View();

        }

当检测到用户未登陆 。 没有通过认证的同时 去访问的话。  会返回一个401 你没有当前页面权限访问

然后就是通过验证后的样子

常常是看别人怎么实现。 还是自己多去实践 才能成长更快。 加油

工作之余。手撸代码。颇有漏洞。望君批正。

玩一玩基于Token的 自定义身份认证+权限管理的更多相关文章

  1. 基于token的后台身份验证(转载)

    几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RES ...

  2. 在ASP.NET Web API 2中使用Owin基于Token令牌的身份验证

    基于令牌的身份验证 基于令牌的身份验证主要区别于以前常用的常用的基于cookie的身份验证,基于cookie的身份验证在B/S架构中使用比较多,但是在Web Api中因其特殊性,基于cookie的身份 ...

  3. 在ASP.NET Core中实现一个Token base的身份认证

    注:本文提到的代码示例下载地址> How to achieve a bearer token authentication and authorization in ASP.NET Core 在 ...

  4. [转]NET Core中实现一个Token base的身份认证

    本文转自:http://www.cnblogs.com/Leo_wl/p/6077203.html 注:本文提到的代码示例下载地址> How to achieve a bearer token ...

  5. 基于Token的WEB后台认证机制

    几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RES ...

  6. NET Core中实现一个Token base的身份认证

    NET Core中实现一个Token base的身份认证 注:本文提到的代码示例下载地址> How to achieve a bearer token authentication and au ...

  7. .NetCore WebApi——基于JWT的简单身份认证与授权(Swagger)

    上接:.NetCore WebApi——Swagger简单配置 任何项目都有权限这一关键部分.比如我们有许多接口.有的接口允许任何人访问,另有一些接口需要认证身份之后才可以访问:以保证重要数据不会泄露 ...

  8. 【转】基于Token的WEB后台认证机制

    原谅地址:http://www.cnblogs.com/xiekeli/p/5607107.html 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每 ...

  9. springboot结合jwt实现基于restful接口的身份认证

    基于restful接口的身份认证,可以采用jwt的方式实现,想了解jwt,可以查询相关资料,这里不做介绍~ 下面直接看如何实现 1.首先添加jwt的jar包,pom.xml中添加依赖包: <de ...

随机推荐

  1. Hibernate 介绍及其 环境搭建

    介绍 数据持久化概念 数据持久化是将内存中的数据模型转换为存储模型,以及将存储模型转换为内存中的数据模型的统称.例如:文件的存储.数据的读取等都是数据持久化操作.数据模型可以是任何数据结构或对象模型, ...

  2. Oracle查询优化改写--------------------范围处理

    一.定位连续值的范围 二.查找同一组或分区中行之间的差

  3. Java 小记 — RabbitMQ 的实践与思考

    前言 本篇随笔将汇总一些我对消息队列 RabbitMQ 的认识,顺便谈谈其在高并发和秒杀系统中的具体应用. 1. 预备示例 想了下,还是先抛出一个简单示例,随后再根据其具体应用场景进行扩展,我觉得这样 ...

  4. Linux下的进程与线程(一)—— 进程概览

    进程是操作系统分配资源的基本单位.线程是操作系统进行运行和调度的基本单位. 进程之间可以切换,以便轮流占用CPU,实现并发.一般进程运行在用户模式下,只能执行指令集中的部分指令. 当进程进行上下文切换 ...

  5. css3控制div上下跳动

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  6. 福州大学W班-Beta冲刺评分

    作业链接 https://edu.cnblogs.com/campus/fzu/FZUSoftwareEngineering1715W/homework/1428 作业要求 1.博客具体要求 昨天的困 ...

  7. 福州大学W班-团队作业-随堂小测(同学录)成绩

    作业链接 https://edu.cnblogs.com/campus/fzu/FZUSoftwareEngineering1715W/homework/1246 作业要求 1.题目 即编写一个能够记 ...

  8. C语言博客作业--一二维数组

    一.PTA实验作业 题目1(7-6) (1).本题PTA提交列表 (2)设计思路 //天数n:数组下标i:小时数h,分钟数m:对应书号的标签数组flag[1001] //总阅读时间sum初始化为0,借 ...

  9. python clock装饰器 计算函数执行时间,执行结果及传入的参数

    import time import functools def clock(func): @functools.wraps(func)#还原被装饰函数的__name__和__doc__属性 def ...

  10. python 闭包计算移动均值及nonlocal的使用

    class Averager1(): '''计算移动平均值的类第一种写法''' def __init__(self): self.series = [] def __call__(self,new_v ...