logo标签列表

ASP.NET Identity - 多提供商的自定义实现

c#asp.netforms-authenticationasp.net-identity
12

我目前正在为汽车经销商开发一个大型项目,但我有一个困境。

我应该使用ASP.NET身份验证还是老派的FormsAuthentication?

我需要能够通过两个提供程序进行登录。首先,用户始终在数据库中,但我们会检查它是否为LDAP用户,如果是,则通过LDAP进行身份验证(我使用一个具有登录方法的WebService来实现此功能)。

以下是我的登录方法:

    [HttpPost]
    [AllowAnonymous]
    [ValidateAntiForgeryToken]
    public async Task<ActionResult> Login(LoginModel model)
    {
        if (ModelState.IsValid)
        {
            var userInDb = this.db.Users.FirstOrDefault(u => u.Username == model.username);

            if (userInDb != null)
            {
                // USER EXISTS
                if (userInDb.IsLdap)
                {
                    try
                    {
                        // IS LDAP POWERED, IGNORE PASSWORD IN DB
                        using (var ws = WebServiceClient.Factory(model.GetDomain()))
                        {
                            // MAKE AUTH
                            var result = await ws.Login(model.GetUsername(), model.password);

                            if (result.Success)
                            {
                                // USER IS LEGAL
                                FormsAuthentication.SetAuthCookie(model.username, model.remember);

                                return RedirectToAction("Init");
                            }
                            else
                            {
                                // USER IS ILLEGAL
                                ModelState.AddModelError("", "Username or password invalid.");
                            }
                        }
                    }
                    catch (Exception ex)
                    {
                        // AN ERROR OCCURED IN CREATION OF THE WebService
                        ErrorUtils.Send(ex);

                        ModelState.AddModelError("", ex.Message);
                    }
                }
                else
                {
                    // USER IS DB POWERED, CHECK THE PASSWORDS
                    var currentHash = userInDb.Password;

                    var isPasswordOkay = PasswordUtils.Validate(model.password, currentHash);
                    if (isPasswordOkay)
                    {
                        // USER PASSWORD IS LEGIT
                        FormsAuthentication.SetAuthCookie(model.username, model.remember);

                        return RedirectToAction("Init");
                    }
                    else
                    {
                        // BAD PASSWORD
                        ModelState.AddModelError("", "Username or password invalid.");
                    }
                }
            }
            else
            {
                try
                {
                    // USER DO NOT EXISTS IN DB
                    using (var ws = WebServiceClient.Factory(model.GetDomain()))
                    {
                        // MAKE AUTH
                        var result = await ws.Login(model.GetUsername(), model.password);

                        if (result.Success)
                        {
                            // USER IS LEGAL IN LDAP SO CREATE IT IN DB
                            var ldapUser = (AuthResponse.AuthResponseUser)result.User;

                            var name = ldapUser.DisplayName.Split(' ');
                            var user = new User()
                            {
                                Firstname = name[0],
                                Lastname = name[1],
                                ActivatedAt = DateTime.Now,
                                ModifiedAt = DateTime.Now,
                                Email = model.username,
                                IsLdap = true,
                                Username = model.username,
                                Password = "",
                                Notifications = NotificationType.All
                            };

                            // GET THE DEALER TO ADD IT TO THE USER RIGHT NOW
                            var dealer = this.db.BaseContexts.Find(ws.Dealer.Id);
                            user.BaseContexts.Add(dealer);
                            dealer.Users.Add(user);

                            try
                            {
                                this.db.Users.Add(user);

                                this.db.Entry(user).State = System.Data.Entity.EntityState.Added;
                                this.db.Entry(dealer).State = System.Data.Entity.EntityState.Modified;

                                await this.db.SaveChangesAsync();

                                FormsAuthentication.SetAuthCookie(model.username, model.remember);

                                return RedirectToAction("Init");
                            }
                            catch (Exception ex)
                            {
                                ErrorUtils.Send(ex);

                                ModelState.AddModelError("", "An error occured during user creation.");
                            }
                        }
                        else
                        {
                            // USER IS ILLEGAL
                            ModelState.AddModelError("", "Username or password invalid.");
                        }
                    }
                }
                catch (Exception ex)
                {
                    // AN ERROR OCCURED IN CREATION OF THE WebService
                    ErrorUtils.Send(ex);

                    ModelState.AddModelError("", ex.Message);
                }
            }
        }

        return View(model);
    }

我该如何优化它或在其中实现ASP.NET身份验证?我了解多租户的概念,但不确定它是什么。

目前我正在使用FormsAuth,虽然可以工作,但似乎非常有限。例如,创建用户很困难,然而Identity框架具有非常有用的UserManager!

显然,我希望能够通过DB或LDAP进行身份验证,并根据属性。我考虑过创建一个类来充当“身份验证服务”,但我找不到一种结构化和快速的方法。

编辑:我知道Identity有外部提供商,但不确定是否可以使用我的LDAP认证创建自己的提供商。

所以您是要求编写一个既可以与数据库又可以与LDAP一起使用的提供程序? - trailmax
好的,我想知道如何编写一个既能做这个又能做那个的提供程序。 - Frederick Marcoux
1个回答
5
使用ASP.NET Identity是更好的选择,因为它使用OWIN堆栈而不是依赖于system.web。这主要是出于性能和关注点分离的原因。另外,需要知道的是,新版本的MVC也朝着这个方向发展。

你想做的是同时使用表单和Windows的混合认证。虽然有很多方法可以实现这一点,但通常最简单的方法是在Web服务器上启用Windows身份验证,然后允许IIS为您处理繁重的工作,这样就不需要WebService了。如果这是您想要走的方向,您可能需要查看这个类似的问题,这应该会让您朝着正确的方向前进。

OWIN的混合身份验证

即使您不完全按照所提出的解决方案来执行,您最终也需要实现自己的OWIN中间件来进行身份验证。

事实上,我们支持使用每个域控制器中的Web服务来与本地域通信。这就是为什么我不能在IIS中使用Windows身份验证的原因。此外,如果您找到关于在Windows服务器上作为单一堆栈(不使用IIS)使用OWIN的任何教程,请提供参考。我已经寻找了几周! - Frederick Marcoux
你可以从Owin.org开始,然后再深入了解。你可能会发现的主要实现是Katana,虽然还有其他的实现方式。Katana将允许你在自己的控制台应用程序或NT服务中进行自托管,但我不建议你这样做,除非你真的需要它。我没有看到任何推荐用于完整生产使用的OWIN主机实现。目前,我建议你将网站托管在IIS中或云端。如果你正在寻找测试选项,请查看来自Katana的OWINhost.exe。 - Kevin Harker
你能帮我解决这个问题吗:http://stackoverflow.com/questions/39275597/how-to-give-custom-implementation-of-updateasync-method-of-asp-net-identity - Learning-Overthinker-Confused
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接