基础知识
身份标识在客户端主要是两个存储位置:
cookie 常用
url 很少用 url作为cookie禁用的备选方案
form 几乎不用 很麻烦,每次请求都必须是form提交方式
authorization 很少用,header.authorization里面存的是base64的明文数据,不安全,一般在路由器或简单文档浏览上会用身份认证模式,因为简单方便
普通登录,自己登录,验证授权
OAuth2.0, 一个通用的认证授权服务,主要提供给app的api。特别是对于数据访问调用的情况。例如转发微博,但这个滥用比较危险
OpenID , 通用的认证服务,用来统一登录功能的。网站A支持X的OpentID,则可以在登录时在X登录后拥有一个OpenId标识,这个标识A也是认可的身份标识,两方的数据并不通用,
SSO, 单点登录 ,统一认证,授权的web服务。登录后可以有数据互通。
net认证机制
FORM身份验证, 依赖Cookie或URL中的标识
集成WINDOWS验证 适合内联网(局域网)用,依赖于IIS
Basic基础认证 将票据信息保存在head.Authorization里,跳转时必须url传送,不能自动携带,安全新低
Digest摘要认证 客户端和服务器端 约定加密方式,传送单向加密信息摘要,服务端同样加密来验证
服务器端的session数据存储位置为两种
客户端,存储在cookie中,每次请求发送给服务器,解析后在后台代码中使用,客户流量大点,安全性低些,服务器内存占用低些
服务器端,存储在服务器内存中,内存占用高一些,安全性高,流量低些
Asp.Net身份认证--参考 http://tech.it168.com/a2012/0417/1338/000001338130_all.shtml
认证:在Asp.Net管线中用AuthenticateRequest事件
构造HttpContext.User对象
由FormsAuthenticationModule 实现
授权:在Asp.Net管线中用AuthorizeRequest事件
检查授权,重定向
由UrlAuthorizationModule实现(此moudule结合membership等)
登陆:FormsAuthentication.SetAuthCookie() 方法,是默认的设定登陆票据方法,只有有一个标识,没有其他信息
设定Cookie并加密
注销:FormsAuthentication.SignOut() 方法
清理Cookie标识
判断:Request.IsAuthenticated判断是否登陆
检查HttpContext.User,context.User.Identity,context.User.Identity.IsAuthenticated
过期:FormsAuthenticationTicket为票据基类
票据基类过期时间,SlidingExpiration=true, 则会二者任何一个过期就状态无效
Cookie过期时间
自定义Froms认证
1.自定义用户信息类CustomerUser,实现IPrincipal接口
2.登陆时构建FormsAuthenticationTicket票据,
将CustomerUser实例作为Data传入
加密字符串,FormsAuthentication.Encrypt(ticket)
创建Cookie,名称=FormsAuthentication.FormsCookieName,
写入Cookie
3.Global.asax中加入事件处理
Application_AuthenticateRequest事件
将Cookie取出,解密,构建Context.User对象
多台服务器使用Form认证
默认情况随机密钥是本机生成存储在本地安全机构
多台通用需要配置密钥
<machineKey decryption="Auto" [Auto | DES | 3DES | AES] decryptionKey="AutoGenerate,IsolateApps" />
decryption未加密算法
MVC的Form验证一致,不过授权一般不再用了,改用过滤属性标识