身份验证(表单验证),Cookies及对称加密(ASP.net-1.1)
一、身份验证的三种模式:
ASP.net下的身份验证模式有大致有三种,一是windows验证,就是每一个来访都都要求有一个windows帐号,这种验证是最安全的,但也是最昂贵的,因为你得为每一个来访用户添加一个windows帐号。这对于一些中小型网站,确切的说是没有自己独立的服务器的B/S模式应该程序来说,都是不可能的事。
第二种方案是用MS的Passpost验证,这种验证是MS提供的一种集中式身份验证,如果用户启用了Passport身份验证的网站上登录,他就被自动转移到passport网站,在输入用户名和口令之后,再被转移回来。这种方案的好外是你不用管理用户名和帐号了,MS都帮你做了。然而,它的部署有些麻烦,而且使用验证时,也比较麻烦,要来回进行部署。你可以到www.passport.com或者在MS的网站上查找相关信息。
第三种方案就是我今天要重点说明的,表单验证模式。
二、表单验证:
你可以在web.config中启动表单验证。
<
authentication
mode
="Forms"
>
<
forms
loginUrl
="login.aspx"
protection
="None"
name
="WebbUser"
path
="/"
/>
</
authentication
>
详细的说明可以在MSDN里查找authentication。添加完认证后,就是做一个登录页而,让用户取得认证。在DotNet下,已经很好的集成了认证票据的生成模式。认证票据其实就是一个加密了的Cookies,后面我将说明如何自己定义票据,及自己定义加密的Cookies来做自己的票据类。
当取得用户的登录名与密码后(一般是从数据库里查询并验证),如果用户是合法的,那么就应该给用户设置一个认证的票据:
FormsAuthentication.RedirectFromLoginPage();
上面的方法给用户添加一个认证并返回访问的页面上去。从此,用户的机器上就多了一个Cookies了,这个Cookies就是用户认证的信息,当然它是经加密了的。这样,用户就可以访问要求身份验证的页面了,因为这时候,用户的所用访问都将带着这个Cookies来提交了。
我们可以从Form的User的实例上取得用户的验证信息,它其实是FormsIdentity的一个实例:
private
void
Page_Load(
object
sender, System.EventArgs e)
{
//
Put user code to initialize the page here
Response.Write(
this
.User.Identity.AuthenticationType
+
"
<br>
"
); Response.Write(
this
.User.Identity.IsAuthenticated
+
"
<br>
"
); Response.Write(
this
.User.Identity.Name
+
"
<br>
"
); 
}
以上代码输出经过验证后的用户信息。我们可以自己返回验证的票据:
private
void
Page_Load(
object
sender, System.EventArgs e)
{
//
Put user code to initialize the page here
FormsIdentity m_identity
=
this
.User.Identity
as
FormsIdentity; FormsAuthenticationTicket m_ticket
=
m_identity.Ticket; Response.Write(m_ticket.CookiePath
+
"
<br/>
"
); Response.Write(m_ticket.Expiration.ToString()
+
"
<br/>
"
); Response.Write(m_ticket.Expired
+
"
<br/>
"
); Response.Write(m_ticket.IsPersistent
+
"
<br/>
"
); Response.Write(m_ticket.IssueDate
+
"
<br/>
"
); Response.Write(m_ticket.Name
+
"
<br/>
"
); Response.Write(m_ticket.UserData
+
"
<br/>
"
); Response.Write(m_ticket.Version
+
"
<br/>
"
); }
注意上面的UserData,如果你用的是FormsAuthentication.RedirectFromLoginPage();那么它是一个空的字符串。当然我们可自己定义这里面的数据,它是一个任意长度的字符串(当然,可能会受到Cookies大小的限制)。
三、自定义验证票据:
在登录页面上,我们可以自己定义一个票据,然后添加到用户的Cookies里,一样起到表单验证的效果:
public
virtual
void
Login(
bool
i_autoLogin)
{
string
m_userData
=
this
.m_userID.ToString()
+
"
,
"
+
this
.m_loginName
+
"
,
"
+
this
.m_userType.ToString(); FormsAuthenticationTicket ticket
=
new
FormsAuthenticationTicket(
1
,
"
WebbUser
"
, System.DateTime.Now, System.DateTime.Now.AddDays(
30
), i_autoLogin, m_userData,
"
/WAVE/
"
);
string
encTicket
=
FormsAuthentication.Encrypt(ticket); HttpContext.Current.Response.Cookies.Add(
new
HttpCookie(
"
WebbUser
"
, encTicket));
//
HttpCookie m_cookie
=
new
HttpCookie(
"
WebbExpires
"
); m_cookie.Value
=
m_userData; m_cookie.Expires
=
System.DateTime.Now.AddDays(
30
); HttpContext.Current.Response.Cookies.Set(m_cookie); }
这里,我给UserData添加了一个形式如:"UserID|UserName|UserType"的字符串数据!这样,我们就可以在用户通过认证后,从用户的Identity票据里取得这些信息,当然再加工一下就可以成为有用的信息了。这里的string encTicket = FormsAuthentication.Encrypt(ticket);是一个加密过程,当然如果你省掉,那么系统在取加数据时就会出错,因为取回数据时,用到了Decrypt来解密,如果你没有加密,那当然在解密的时候就会出错。
如果自己定义一个Ticket,那么同样的,在用户的机器上也会多了一个Cookies,有兴趣的可以自己用Trace来看一下添加的Cookies,它是一个不等长的加密字符串,但名字是上面我们定义的。
四、自己用Cookies进行验证:
这是一个很灵活的方法,当然,一般没有必要这样进行验证。方法与ASP里用Session的验证差不多,但我们可以创建一个持久的Cookies来进行验证用及角色。
首先还在登录页面上用于添加一个用户认证的Cookies:
public
virtual
void
Login(
long
i_days)
{ HttpCookie m_cookie
=
new
HttpCookie(
"
WebbUser
"
);
string
m_value
=
this
.m_loginName
+
"
|
"
+
this
.m_userID.ToString()
+
"
|
"
+
this
.m_userType.ToString();
//
m_cookie.Value = FormsAuthentication.Encrypt(m_value);
m_cookie.Value
=
m_value; m_cookie.Expires
=
DateTime.Now.AddDays(i_days); HttpContext.Current.Response.Cookies.Add(m_cookie); }
这样看上去更简单,而且我们可以自己对这样的数据进行管理。例如,先做一个所有Form的BasePage,它实现一个WebUser或者WebVisitor类,并为设定为只读属性或者公有成员。在页面初始化的时候,就先读取数据:
public
void
LoadDataFromCookies()
{ HttpCookie m_cookies
=
HttpContext.Current.Request.Cookies[
"
WebbUser
"
];
if
(m_cookies
==
null
)
return
;
string
[] m_data
=
m_cookies.Value.Split(
'
|
'
);
if
(m_data.Length
<
3
)
return
;
this
.m_loginName
=
m_data[
0
];
this
.m_userID
=
Convert.ToInt64(m_data[
1
]);
this
.m_userType
=
WebbUser.ConvertStringToUserTypes(m_data[
2
]); }
当然,这个User类(我们自己定义的,不是Form里的User)是有默认数据,也就是没有认证时候的信息。
之后,我们就可以在所有的子类页面上随时对用户进行认证:
private
void
Page_Load(
object
sender, System.EventArgs e)
{
//
Put user code to initialize the page here
this
.CheckVisitorType(Webb.Web.BasePage.WebbUser.UserTypes.Admin); Response.Write(
this
.WebbVisitor.UserType); Response.Write(
this
.WebbVisitor.UserID); Response.Write(
this
.WebbVisitor.LoninName); }
当然,上面的CheckVisitorType是自己定义的了。这样,不仅可以完成对用户的认证,还可以对用户的角色进行十分灵活的设置,如果再进一步的细化User类(因为有ID,所以可以在数据库里添加很多详细的信息),就可以完全实现个性化的User了!
五、Cookies的加密:
如系统自己带的票据一样,我们也可以添加一个加密的工作。因为我们不仅要加密,而且还要解密,因此不能采用Hash加密方法(虽然这个方法很好,其中最常用的Hash128位加密,也就是MD5加密在B/S的网站上经常使用)。这里有两个方案可选:对称加密与非对称加密。非对称加密就是分开密钥,这里不作说明,有兴趣的可以参考一些公开密钥的文章,或者一些数字签名的内容。我采用了简单的对称加密对Cookies加密。
.net下有DES-United states data encryption standard,Triple Des(三次DES加密),RC2及Rijndael几种加密算法,每个算法有一个提供类来支持具体的加密与解密工作,可以对文件等进行加密。这里简单的说明介绍一下DES加密。
DES加密要事先提供一个密码:Key及一个初始向量:IV(Initial Vector)来进行初始化,而这个Key及IV都必须是8个字节的数据。
这里简单的实现了一个加密与解密:
using System;
using System.IO;
using System.Web;
using System.Security.Cryptography;
using System.Globalization;
using System.Text;
using System.ComponentModel;
///
<summary>
///
DES encrypt.
///
</summary>
///
<param name="i_key"></param>
///
<param name="i_IV"></param>
///
<param name="i_data"></param>
///
<returns></returns>
public
static
string
Encrypt(
string
i_key,
string
i_IV,
string
i_data)
{
byte
[] m_keys
=
Encoding.ASCII.GetBytes(i_key);
byte
[] m_IVs
=
Encoding.ASCII.GetBytes(i_IV);
byte
[] m_data
=
Encoding.ASCII.GetBytes(i_data); DESCryptoServiceProvider m_DES
=
new
DESCryptoServiceProvider(); ICryptoTransform m_encrypt
=
m_DES.CreateEncryptor(m_keys,m_IVs);
byte
[] m_result
=
m_encrypt.TransformFinalBlock(m_data,
0
,m_data.Length); m_encrypt.Dispose(); m_DES.Clear();
return
BitConverter.ToString(m_result); }
///
<summary>
///
DES descrypt.
///
</summary>
///
<param name="i_key">
Keys
</param>
///
<param name="i_IV">
initial vector
</param>
///
<param name="i_data">
Data
</param>
///
<returns></returns>
public
static
string
Decrypt(
string
i_key,
string
i_IV,
string
i_data)
{
string
[] m_datas
=
i_data.Split(
'
-
'
);
byte
[] m_values
=
new
byte
[m_datas.Length]; Int32Converter m_i32Converter
=
new
Int32Converter();
for
(
int
i
=
0
;i
<
m_datas.Length;i
++
)
{
m_values[i]
=
Convert.ToByte(m_i32Converter.ConvertFromInvariantString(
"
0x
"
+
m_datas[i]).ToString());
}
byte
[] m_keys
=
Encoding.ASCII.GetBytes(i_key);
byte
[] m_IVs
=
Encoding.ASCII.GetBytes(i_IV);
byte
[] m_data
=
Encoding.ASCII.GetBytes(i_data); DESCryptoServiceProvider m_DES
=
new
DESCryptoServiceProvider(); ICryptoTransform m_encrypt
=
m_DES.CreateDecryptor(m_keys,m_IVs);
byte
[] m_result
=
m_encrypt.TransformFinalBlock(m_values,
0
,m_values.Length);
return
Encoding.ASCII.GetString(m_result); }
注意:1、这里的i_key及i_IV都必须是8个字节的,也就是说必须是ASCII的8个字符串,否则在加密及解密中会抛出异常!有了这个加密与解密后,我们就可以对自己定义的Cookies进行加密,然保存在用户的机器上了。
2、这里的Key与IV不仅是初始化算法所必须的,也是解密时所必须的。
六、加密数据溢出问题:
上面已经强调了很多次,KEY及IV都必须是8个字节的,否则出现错误。这对于程序员来说很好理解,但对于用户来说,可就不是什么好事了。如果用少于或者多于8个字节的KEY或者IV来调用加密或者解密函数,都将出现错误。这个可以由程序员来决定,或者将KEY及IV事先就选择好,也就不会有问题了。注意加密与解密所选择的Encoding字符集,不同的字符集得到的结果是不样的。
七、附加MD5密码函数:
///
<summary>
///
///
</summary>
///
<param name="str_inString"></param>
///
<returns></returns>
static
public
string
GetMD5(
string
i_data)
{
byte
[] m_datas
=
Encoding.ASCII.GetBytes(i_data); MD5CryptoServiceProvider m_MD5
=
new
MD5CryptoServiceProvider();
byte
[] m_value
=
m_MD5.ComputeHash(m_datas);
return
BitConverter.ToString(m_value); }
总结:其实.net下的表单验证就是一个Cookies,我们不仅可以自己定义验证票据,而且还可以自己模拟验证模式来自己添加Cookies来更加灵活的进行用户身份验证及角色处理。