在ASP.NET MVC中使用表单验证（Forms Authentication）实现自定义IPrincipal

Question

在ASP.NET MVC中使用表单验证（Forms Authentication）实现自定义IPrincipal

13

这应该很简单，但是在我查阅了所有资料之后，我还是没弄明白。这是我的需求：我有一张自定义的用户表（目前没有角色），我想对其进行授权。为此，我需要实现一个自定义的Membership提供程序，我已经完成了这个步骤。但我的问题是，如何设置一个自定义的IPrincipal到HttpContext.Current.User中？这应该在哪里发生？假设我的设置如下所示：

public class CustomMembershipProvider : MembershipProvider
{
   private IUserRepository _repository;

   public CustomMembershipProvider(IUserRepository repository)
   {
      _repository = repository;
   }

   public override bool ValidateUser(string username, string password)
   {
      //check user repository 
   }

   //additional methods omitted for brevity 
}

我有一个自定义用户类，实现了IPrincipal和IIdentity接口。

 public class CustomUser : IPrincipal
    {
        public CustomUser(string name, int userId, string additionalInfo)
        {
            Identity = new CustomIdentity(name, userId, additionalInfo);
        }

        public IIdentity Identity { get; private set; }

        public bool IsInRole(string role)
        {
            return true;
        }
    }

    public class CustomIdentity : IIdentity
    {
        public CustomIdentity(string name, int userId, string additionalInfo)
        {
            Name = name;
            UserId = userId;
            AdditionalInfo = additionalInfo;
        }

        public string Name { get; private set; }

        public string AuthenticationType
        {
            get { return "CustomAuth"; }
        }

        public bool IsAuthenticated
        {
            get { return !String.IsNullOrEmpty(Name); }
        }

        public int UserId { get; private set; }
        public string AdditionalInfo { get; private set; }
    }

所以我的问题是，将Context.User设置为此自定义用户实例的正确位置在哪里？我需要一个自定义授权属性吗？如果需要，那么它应该是什么样子？

- BFree

你最终处理这个问题的进展如何？我自己正在做类似的事情，目前还处于早期阶段。 - ETFairfax

我和你一样，我快要准备好创建一个扩展方法来完成这项工作了！ - Jason Foglia

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- mnemosyn · Accepted Answer

我建议为所有控制器使用自定义控制器基类。然后，在OnAuthorization中调用：

protected override void OnAuthorization(System.Web.Mvc.AuthorizationContext filterContext)
{
    // Actual Authentication
    HttpContext.User = user; 
    Thread.CurrentPrincipal = user;
    base.OnAuthorization(filterContext);
}

我不确定如何调用成员资格提供程序，因为我正在手动完成操作，但我认为你可以通过静态访问Membership.Provider来执行实际的对象构造。

我需要一个自定义的授权属性吗？

不需要。请注意验证和授权之间的区别：验证在您的系统中建立用户的身份。授权允许或拒绝特定请求。因此，AuthorizeAttribute也有一个Roles参数，可仅允许某些用户调用操作。