是否可以在没有标准类和名称空间的情况下创建自己的认证？

Question

我已经创建了空白的Asp.Net-MVC 3 Web应用程序，并且想要编写我自己的非常简单的认证。创建一个数据库，其中存储有关用户的所有信息。创建一个控制器，用文本框查看登录名和密码。 因此，现在用户打开我的网站，输入他的登录名和密码，这些信息在服务器上接收并处理（通过我自己的ValidateUser方法）。我应该在哪里存储关于此用户的信息以供进一步使用？

如果你不明白我想要什么，那么问题是：我可以实现我自己的身份验证过程，而不使用标准MembershipRoles和MembershipProviders？

Answer 1

您可以编写自己的自定义MemberShipProvider并调用您自己的ValidateUser方法。

入住这Implementing a Membership Provider

如果你这样做的方式，那么你可以使用的优点像

1. 重定向如果不是在配置文件中设置该
2. 认证登录页面登录后在你可以使用返回url重定向回到用户所在的页面。

Answer 2

在控制器动作到您发布的登录表单，你可以验证凭据对你的数据库，如果成功发出authntication cookie，将包含当前连接的用户的用户名，这样就可以在以后的行动检索。

例如假设你有一个包含其发布到登录方法的用户名和密码字段的表单：

[HttpPost] 
public ActionResult LogOn(string username, string password) 
{ 
    // TODO: up to you to implement the VerifyCredentials method 
    if (!VerifyCredentials(username, password)) 
    { 
     // wrong username or password: 
     ModelState.AddModelError("", "wrong username or password"); 
     return View(); 
    } 

    // username and password match => emit an authentication cookie: 
    FormsAuthentication.SetAuthCookie(username, false); 

    // and redirect to some controller action which is protected by the 
    // [Authorize] attribute and which should be accessible only to 
    // authenticated users 
    return RedirectToAction("SomeProtectedAction", "SomeController"); 
} 

和保护的作用，你可以获取从这样的cookie中的当前连接的用户名里面：

[Authorize] 
public ActionResult SomeProtectedAction() 
{ 
    string username = User.Identity.Name; 

    // TODO: here you could query your database to find out more about 
    // the user given his username which must be unique 
    ... 
} 

Answer 3

当然你可以 - 而你的问题的第一部分的答案是'它取决于'。这取决于你如何/何时使用它。

内置认证将令牌存储在用于重新认证的cookie中。

作为一个警告 - 你需要一个很好的理由来实现这一点 - 很容易得到这个错误，并在您的网站留下漏洞。

Answer 4

是的，这是完全可能的（我们在这里不使用表单验证）。

但是;你需要承担全部责任一切，包括：

• 认证
• 安全地存储/处理对用户的一些象征性的（通常是唯一的HTTP cookie的）令牌的
• 验证/用户对资源
• 无效令牌（既可以防止重放，或注销）
• 参与任何这种
• 和什么的所有缓存即去错误（包括但不限于，一个坏的实施暴露出严重的安全故障）是完全你的错

当然很可以实现的，但需要做的很好的理由，并仔细。

（有什么不对?admin=true，是吗？）