11

有一个代码盲时刻。

ASP.NET 4.0。

网络配置:

<?xml version="1.0"?>
<configuration>
  <system.web>
    <authentication mode="Forms">
      <forms name="DataViewer" loginUrl="login.aspx">
        <credentials passwordFormat="Clear">
          <user name="devuser" password="test" />
        </credentials>
      </forms>
    </authentication>
    <authorization>
      <deny users="?" />
    </authorization>
  </system.web>

和一个登录控件:

  <asp:Login ID="login" runat="server" />

如果我输入用户名和密码,然后单击登录,它会挂起。

如果我中断,我可以在 calllogin.AuthenticateUsingMembershipProvider()中间的调用堆栈中看到SqlMembershipProvider.ValidateUser()。这个项目根本没有定义或涉及数据库,我也没有指定应该使用 SqlMembershipProvider。

所以我的问题是,我应该使用什么成员资格提供程序来让 ASP.NET 使用<credentials>元素中的用户名和密码web.config

4

4 回答 4

16

我很惊讶考虑到框架设计者是如何费尽心思定义一个<credentials />他们没有实现任何代码来使用它的元素。

我在这里找到了一种可行的实现,我已经修复并包含在下面。MembershipProviderthrow的所有其他成员NotImplementedException

using System.Configuration;
using System.Web.Configuration;
using System.Web.Security;

public class WebConfigMembershipProvider : MembershipProvider
{
    private FormsAuthenticationUserCollection _users = null;
    private FormsAuthPasswordFormat _passwordFormat;

    public override void Initialize(string name,
      System.Collections.Specialized.NameValueCollection config)
    {
        base.Initialize(name, config);
        _passwordFormat = getPasswordFormat();
    }

    public override bool ValidateUser(string username, string password)
    {
        var user = getUsers()[username];
        if (user == null) return false;

        if (_passwordFormat == FormsAuthPasswordFormat.Clear)
        {
            if (user.Password == password)
            {
                return true;
            }
        }
        else
        {
            if (user.Password == FormsAuthentication.HashPasswordForStoringInConfigFile(password,
                _passwordFormat.ToString()))
            {
                return true;
            }
        }

        return false;
    }

    protected FormsAuthenticationUserCollection getUsers()
    {
        if (_users == null)
        {
            AuthenticationSection section = getAuthenticationSection();
            FormsAuthenticationCredentials creds = section.Forms.Credentials;
            _users = section.Forms.Credentials.Users;
        }
        return _users;
    }

    protected AuthenticationSection getAuthenticationSection()
    {
        Configuration config = WebConfigurationManager.OpenWebConfiguration("~");
        return (AuthenticationSection)config.GetSection("system.web/authentication");
    }

    protected FormsAuthPasswordFormat getPasswordFormat()
    {
        return getAuthenticationSection().Forms.Credentials.PasswordFormat;
    }
}
于 2012-09-14T14:07:27.100 回答
3

我不确定你是否尝试过,但是......

FormsAuthentication.Authenticate负责为您执行此操作(尽管它现在已被弃用,因为推荐的行为是使用 Membership 对象)

来自 MSDN:

Authenticate 方法验证存储在应用程序配置文件的凭据部分中的用户凭据。或者,您可以使用 ASP.NET 成员资格来存储用户凭据并调用 ValidateUser 来验证凭据。

您还可以删除成员资格提供程序(因为即使您没有在 web.config 上声明它们,它们也是从 machine.config 文件继承的)

  <membership>
    <providers>
      <remove name="AspNetSqlMembershipProvider"/>
    </providers>
  </membership>
于 2012-09-14T14:27:25.320 回答
3

您将需要为此编写自己的提供程序。获取MSDN 文档ReadOnlyXmlMembershipProvider中的示例并将其更改为从而不是外部 XML 文件读取用户和凭据应该相对简单。web.config

于 2012-09-14T13:59:56.737 回答
-3

尝试使用此方法。我希望它有所帮助。http://msdn.microsoft.com/en-us/library/system.web.ui.webcontrols.login.onauthenticate.aspx

于 2012-09-14T13:55:04.710 回答