6

在一个 ASP.net 应用程序中,我正在使用带有我编写的自定义成员资格提供程序的登录控件。我想要做的是Thread.CurrentPrincipal在用户通过身份验证后设置为我的自定义 Principal 对象。

我正在使用 setter:Thread.CurrentPrincipal它为我设置了 Principal 对象,但是在所有后续线程上,此 CurrentPrincipal 被默认值覆盖。

这是登录控件的身份验证事件的代码:

protected void Login1_Authenticate(object sender, AuthenticateEventArgs e)
    {
        string username = Login1.UserName;
        string password = Login1.Password;

        if (Membership.ValidateUser(username, password))
        {
            var login = sender as Login;
            var phoenixIdentity = new PhoenixIdentity("B", "Forms" , true);
            var principal = new PhoenixPrincipal(phoenixIdentity);

            Thread.CurrentPrincipal = principal;
            AppDomain.CurrentDomain.SetThreadPrincipal(principal);

            HttpContext.Current.User = principal;

            e.Authenticated = true;
        }
    }

例如,假设我使用用户名 A 登录,一切顺利......验证通过,但我在 Identity 对象中使用用户名 B 对用户进行硬编码,该对象设置为我设置为对象的 PrincipalCurrentPrincipal对象。

当我检查在此方法结束时哪个用户设置为CurrentPrincipal身份时,它说它是用户 B。但是当我加载另一个页面然后检查身份CurrentPrincipal是什么时,它说它是用户 A。

那么,如何使我的CurrentPrincipal对象在所有其他线程中持久存在,以及此登录控件在何处/何时设置CurrentPrincipal线程的对象?

4

3 回答 3

2

Tadas 没有错,FormsAuthentication 正确实现不会导致这个问题。

即使没有登录也可以访问您的页面,仅在登录页面中,您的线程的原理是由您手动设置的,但是当您点击另一个 URL 时,它肯定不会调用您的登录页面并记住每个页面都在自己的不同线程上运行。如果您请求第一页并设置线程原则,并且您在同一浏览器实例中请求第二页,它可能是也可能不是完全相同的线程。

这就是 FormsAuthentication 的工作原理,

  1. 它检查是否设置了 Auth Cookie,然后将用户引导到登录页面
  2. 登录页面必须验证并设置身份验证 cookie,例如 FormsAuthentication.SetAuthCookie
  3. 在每次访问页面之前,都会执行第 1 步。
  4. 成功验证 Auth Cookie 后,ASP.NET 在内部根据您的成员资格组件设置当前用户和所有不同的参数。
  5. ASP.NET Global.asax 文件可以为您提供一些事件,您可以在其中插入代码以在身份验证成功后检查您可以更改当前用户,记住在登录页面上设置当前原则将无济于事

我们在使用 session 存储某些重要信息时遇到了类似的问题,在 auth 会话没有重建之后,所以我们编写了一个 HTTP 模块,在它的 init 方法中,我们附加了 AfterRequestAcquired 事件,在这种情况下你可以编写代码来实例化所有重要的用户相关变量。

于 2009-08-31T08:58:56.460 回答
1

您可以处理 FormsAuthentication_OnAuthenticate(object sender, FormsAuthenticationEventArgs e) (在 Global.asax 中)并在此处设置 CurrentPrincipal。


void FormsAuthentication_OnAuthenticate(object sender, FormsAuthenticationEventArgs e)
{
var phoenixIdentity = new PhoenixIdentity("B", "Forms" , true);
var principal = new PhoenixPrincipal(phoenixIdentity);
e.User = principal;
}
于 2009-08-31T08:45:26.207 回答
1

这是我在 FormsAuthentication_OnAuthenticate 方法中所做的:

if (FormsAuthentication.CookiesSupported)
        {
            if (Request.Cookies[FormsAuthentication.FormsCookieName] != null)
            {
                try
                {
                    FormsAuthenticationTicket ticket = 
                        FormsAuthentication.Decrypt(Request.Cookies[FormsAuthentication.FormsCookieName].Value);

                    var myIdentity = new GenericIdentity("B");
                    var principal = new GenericPrincipal(myIdentity, new string[]{"rola1"});
                    e.User = principal;
                }
                catch (Exception ex)
                {
                    // Decrypt method failed.
                }
            }
        }
        else
        {
            throw new HttpException("Cookieless Forms Authentication is not " +
                                    "supported for this application.");
        }

似乎它正在工作它应该做的......只是如果我将我的自定义主体/身份对作为 e.User,那么我有序列化问题,我需要接下来解决......谢谢你们......

于 2009-08-31T10:04:00.820 回答