现在NerdDinner范例程序可以让访问网站的任何人创建和编辑任何Dinner的信息。下面我们改变这些,仅仅注册和登录的用户才允许创建新的Dinner,并且增加限制,仅仅Dinner的主持人才允许编辑Dinner的详细信息。
为了实现上述功能,我们将使用认证和授权来保护应用程序。
理解认证和授权
认证是识别和验证访问应用程序的客户,简而言之,就是识别访问网站的终端用户是谁。
ASP.NET 支持多种方式来认证浏览器用户。对Internet应用程序而言,最通用的认证方法是Forms Authentication。Form Authentication允许开发人员创建一个HTML登录表单,连接数据库或其它密码表,验证用户提交的用户名/密码。如果用户名/密码是正确的,开发人员接着让ASP.NET生成一个加密的HTTP cookie,识别用户随后的请求。我们将在NerdDinner范例程序中使用Form Authentication。
授权是判断是否一个验证的用户有权限访问一个特定的URL或资源,执行一些操作。例如,在NerdDinner范例程序中,我们将授权仅仅登录的用户可以访问/Dinners/Create URL网址,并创建一个新的Dinner对象。我们也授权仅仅Dinner的主持人可以编辑该条记录,并拒绝其他人修改。
Forms Authentication
和AccountController
在创建ASP.NET MVC应用程序时,ASP.NET MVC的默认Visual Studio 项目模板自动实现了Forms Authentication,也自动添加一个预先创建的账户登录实现,使得站点集成安全验证更加容易。
当未登录的用户访问NerdDinner范例程序时,默认的Site.Master Master 页面在右上角显示一个Log On(登录)链接。点击Log On 链接,引导用户到/Account/LogOn URL。
没有注册的访问者可点击Register注册链接,进入/Account/Register 地址,允许输入帐号的信息:
点击Register按钮在ASP.NET Membership 系统创建一个新的用户,并使用Forms Authentication认证用户。
当用户登录后,Site.Master更改右上角的输出为Welcome [username]!,以及一个Log Off的链接,一旦点击Log Off链接将退出登录。
上述的登录、退出和注册功能都在AccountController类中实现,该类是在创建ASP.NET MVC项目时自动创建的,相应的用户界面通过视图模板实现的,存放在\Views\Account目录:
AccountController类使用ASP.NET Forms Authentication系统生成加密的认证cookies,和ASP.NET Membership API来存放和验证用户名/密码。ASP.NET Membership API是可扩展的,并实现任何使用任何密码库。ASP.NET 内置的membership provider实现了将用户名/密码存放在SQL数据库,或者活动目录(Active Directory)中。
我们可以配置NerdDinner范例程序中的membership provider,打开根目录的web.config 配置文件,查找<membership>节点。当项目创建时,默认的web.config已经添加了,并注册了SQL Membership Provider,并配置了使用ApplicationServices连接字符串来指定数据库。
默认的ApplicationServices连接字符串(web.config配置文件中的<connectionStrings>节点)配置使用SQL Express,指向ASPNETDB.MDF SQL Express数据库,该DB文件存放在App_Data目录。如果在Membership API第一次使用时,该数据库文件不存在,ASP.NET 将自动创建数据库,并准备合适的数据库schema。
如果不想使用SQL Express,而想使用SQL Server实例(或连接一个远程数据库),我们需要做的只是更新web.config 配置文件中的ApplicationServices连接字符串,并确保合适的membership schema在该数据库中已经正确地创建了。你可以在如下目录:
\Windows\Microsoft.NET\Framework\v2.0.50727\
运行 aspnet_regsql.exe 工具,添加合适的membership schema,以及其他ASP.NET 应用程序服务到数据库中。
使用[Authorize]
过滤器对/Dinners/Create
授权
对NerdDinner范例程序,我们不必写任何代码来实现安全认证和帐号管理实现。用户可以注册新帐号,登录/退出网站。现在,我们添加授权逻辑到范例应用程序中,并使用认证状态和访问者的用户名,来控制他们在站点中能做什么,和不能做什么。
首先,我们添加授权逻辑到DinnersController类的Create Action方法上。我们要求访问/Dinners/Create URL网址的用户必须登录,如果他们没有登录,将重定向到登录页面,以便他们可以登录。
实现这一逻辑非常简单,我们需要做的是添加 [Authorize] 过滤器属性到Create Action 方法上,如下所示:
//
// GET: /Dinners/Create
[
Authorize
]
public
ActionResult
Create() {
...
}
//
// POST: /Dinners/Create
[
AcceptVerbs
(
HttpVerbs
.Post),
Authorize
]
public
ActionResult
Create(
Dinner
dinnerToCreate) {
...
}
ASP.NET MVC 支持创建action过滤器,实现可重用的逻辑应用到action方法上。[Authorize] 过滤器是ASP.NET MVC内置的action过滤器,开发人员可以定义授权规则应用到action方法和Controller 类上。
如果[Authorize] 没有带任何参数,则强制要求用户请求action方法时必须登录,否则重定向到登录页面。当重定向时,原来的请求URL会作为querystring参数跟在URL后面(如,/Account/LogOn?ReturnUrl=%2fDinners%2fCreate),在用户登录完成后,AccountController再次重定向用户返回开始请求的页面。
[Authorize] 过滤器也支持指定Users或Roles属性,该属性要求用户必须登录,此外还要求用户必须在允许的用户列表中或允许的角色成员。例如,如下代码仅允许2个指定的用户,”EntLib.com”和”EntLibForum” 访问/Dinners/Create 路径:
[
Authorize
(Users=
"EntLib.com,EntLibForum"
)]
public
ActionResult
Create() {
...
}
将特定的用户名直接写在代码中不易于将来的代码维护,更好的办法是定义一个roles(角色),然后通过数据库或者活动目录(Active Directory)映射用户到角色中。ASP.NET 提供了一个内置的角色管理API和一组内置的Role provider(包括SQL 和活动目录),帮助实现用户/角色的映射。我们接着更新代码,仅允许admin角色的用户访问/Dinners/Create URL。
[
Authorize
(Roles=
"admin"
)]
public
ActionResult
Create() {
...
}
创建Dinners
时,使用User.Identity.Name
属性
在查询当前登录的用户名时,我们可以使用Controller基类公开的User.Identity.Name属性。
之前,我们实现HTTP-POST 的Create() action 方法时,Dinner的HostedBy属性是让用户在页面手动输入的。这里,我们可以更新代码,使用User.Identity.Name属性给HostedBy赋值,同时自动为支持人增加一条RSVP记录:
//
// POST: /Dinners/Create
[AcceptVerbs(HttpVerbs.Post), Authorize]
public ActionResult Create(Dinner dinner)
{
if (ModelState.IsValid)
{
try
{
dinner.HostedBy = User.Identity.Name;
RSVP rsvp = new RSVP();
rsvp.AttendeeName = User.Identity.Name;
dinner.RSVPs.Add(rsvp);
dinnerRepository.Add(dinner);
dinnerRepository.Save();
return RedirectToAction("Details", new { id = dinner.DinnerID });
}
catch
{
ModelState.AddRuleViolations(dinner.GetRuleViolations());
// ViewData["countries"] = new SelectList(PhoneValidator.Countries, dinner.Country);
}
}
// return View(dinner);
//
使用ViewModel
return View(new DinnerFormViewModel(dinner));
}
因为我们给Create() 方法添加了[Authorize] 属性,ASP.NET MVC将确保仅登录的用户才允许访问/Dinners/Create 地址,并执行该方法。同时,User.Identity.Name属性将一定有一个有效的用户名。