20

如何在基于 ASP.NET MVC4 的 ServiceStack 项目中实现 Windows 身份验证?

我从添加的全局请求过滤器开始AppHost

private void ConfigureAuth(Funq.Container container)
{
    this.RequestFilters.Add((httpReq, httpResp, requestDto) =>
    {
        var user = HttpContext.Current.User.Identity;
        if (!user.IsAuthenticated ||
            !user.Name.Contains(_myTestUser)) //todo: check username here in database (custom logic) if it has access to the application
            httpResp.ReturnAuthRequired();
    });
}

这将打开一个登录对话框,如果输入正确(用户名存在并且输入了有效密码并且myTestUser设置为此),将导致成功响应。如果有任何问题,将再次显示登录对话框。——这对我来说听起来不错。但是在第二个登录窗口中重新输入正确的用户后,它停止工作。对话框再次打开,如果它再次不正确。在过滤器函数内没有命中断点。

知道是什么原因造成的吗?

这就是我在 web.config 中添加的内容:

<authentication mode="Windows"/>
<authorization>
  <deny users="?" /> <!--only allow authenticated users-->
</authorization>

我想完全锁定网站,并只允许访问数据库中指定的 Windows 用户,只有他们的特定权限(角色)。我需要实现自定义逻辑来访问“用户和角色列表”。也许在 MVC4/ASP.NET 中还有其他方法可以做到这一点?

4

4 回答 4

13

适用于 Windows Intranet 的 ServiceStack 自定义身份验证

我整天都在反对这个问题,并提出了以下建议。

首先是用例:

您在使用 Windows 身份验证的公司 Intranet 上。您在 web.config 中设置了身份验证模式 =“Windows”,就是这样!

你的策略是这样的:

  1. 您不知道用户是谁,因为他们不在您的用户表或 ActiveDirectory 组或其他任何内容中。在这种情况下,您赋予他们“客人”的角色并相应地修剪 UI。也许给他们一个电子邮件链接以请求访问。

  2. 您的用户列表中有该用户,但尚未为他们分配角色。所以给他们“用户”的角色并像上面一样修剪 UI。也许他们可以看到他们的东西,但没有别的。

  3. 该用户在您的列表中并且已被分配一个角色。最初,您将通过手动更新数据库中的 UserAuth 表来分配角色。最终,您将拥有一项为授权用户执行此操作的服务。

那么让我们来看看代码。

服务器端

在 ServiceStack 服务层中,我们根据https://github.com/ServiceStack/ServiceStack/wiki/Authentication-and-authorization创建一个自定义凭证授权提供程序 

      public class CustomCredentialsAuthProvider : CredentialsAuthProvider
        {
            public override bool TryAuthenticate(IServiceBase authService, string userName, string password)
            {
                //NOTE: We always authenticate because we are always a Windows user! 
                // Yeah, it's an intranet  
                return true;
            }

            public override void OnAuthenticated(IServiceBase authService, IAuthSession session, IOAuthTokens tokens, Dictionary<string, string> authInfo)
            {

                // Here is why we set windows authentication in web.config
                var userName = HttpContext.Current.User.Identity.Name;

                //  Strip off the domain
                userName = userName.Split('\\')[1].ToLower();

                // Now we call our custom method to figure out what to do with this user
                var userAuth = SetUserAuth(userName);

                // Patch up our session with what we decided
                session.UserName = userName;
                session.Roles = userAuth.Roles;            

                // And save the session so that it will be cached by ServiceStack 
                authService.SaveSession(session, SessionExpiry);
            }

        }

这是我们的自定义方法:

     private UserAuth SetUserAuth(string userName)
            {
                // NOTE: We need a link to the database table containing our user details
                string connStr = ConfigurationManager.ConnectionStrings["YOURCONNSTRNAME"].ConnectionString;
                var connectionFactory = new OrmLiteConnectionFactory(connStr, SqlServerDialect.Provider);

                // Create an Auth Repository
                var userRep = new OrmLiteAuthRepository(connectionFactory);

                // Password not required. 
                const string password = "NotRequired";

                // Do we already have the user? IE In our Auth Repository
                UserAuth userAuth = userRep.GetUserAuthByUserName(userName);

                if (userAuth == null ){ //then we don't have them}

                // If we don't then give them the role of guest
                userAuth.Roles.Clear();
                userAuth.Roles.Add("guest")

                // NOTE: we are only allowing a single role here               

                // If we do then give them the role of user
                // If they are one of our team then our administrator have already given them a role via the setRoles removeRoles api in ServiceStack
               ...

                // Now we re-authenticate out user
                // NB We need userAuthEx to avoid clobbering our userAuth with the out param
                // Don't you just hate out params?

                // And we re-authenticate our reconstructed user
                UserAuth userAuthEx;
                var isAuth = userRep.TryAuthenticate(userName, password, out userAuthEx);
                return userAuth;
            }

在 appHost 配置中在函数末尾添加以下 ResponseFilters

    ResponseFilters.Add((request, response, arg3) => response.AddHeader("X-Role",request.GetSession(false).Roles[0]));
    ResponseFilters.Add((request, response, arg3) => response.AddHeader("X-AccountName", request.GetSession(false).UserName));

这会向客户端发送一些额外的标头,以便我们可以根据用户的角色修剪 UI。

客户端

在客户端,当我们向服务器发出第一个请求时,我们会根据自定义身份验证的要求发布用户名和密码。两者都设置为“NotRequired”,因为我们将通过 HttpContext.Current.User.Identity.Name 知道服务器端的用户是谁。

下面使用 AngularJS 进行 AJAX 通信。

    app.run(function($templateCache, $http, $rootScope) {

        // Authenticate and get X-Role and X-AccountName from the response headers and put it in $rootScope.role

        // RemeberMe=true means that the session will be cached 
        var data={"UserName" : "NotRequired", "Password" : "NotRequired", "RememberMe": true };

        $http({ method : 'POST', url : '/json/reply/Auth', data : data }).
            success(function (data, status, headers, config) {
            // We stash this in $rootScope for later use!
                $rootScope.role = headers('X-Role');
                $rootScope.accountName = headers('X-AccountName');
                console.log($rootScope.role);
                console.log($rootScope.role);
            }).
            error(function (data, status, headers, config) {
                // NB we should never get here because we always authenticate
                toastr.error('Not Authenticated\n' + status, 'Error');
            });
    };
于 2013-03-27T20:35:49.530 回答
3

可能值得注意的是,从 4.0.21 版本开始。已实现 Windows 身份验证提供程序,如下所示:https ://github.com/ServiceStack/ServiceStack/blob/master/release-notes.md#windows-auth-provider-for-aspnet

于 2014-06-01T12:33:54.673 回答
2

更新在下面查看@BiffBaffBoff 的注释。看起来 Windows Auth 已经加入了。

我实现了一个非常简单的 NTLM Auth 提供程序。如果有时间,我会将其封装在一个插件中并发布在 GitHub 上。但现在:

web.config - 这可以防止匿名用户连接(如问题中所指出的):

<system.web>
  <authentication mode="Windows" />
  <authorization>
    <deny users="?" />
  </authorization>
...
</system.web>

CredentialsAuthProvider 的简单包装器- 其他一些身份验证逻辑需要 Credentials 或 Digest,这是最容易用作基础的:

public class NTLMAuthProvider : CredentialsAuthProvider
{
    public override bool IsAuthorized(IAuthSession session, IAuthTokens tokens, Authenticate request = null)
    {
        return !string.IsNullOrWhiteSpace(session.UserName);
    }
}

还有一个预请求过滤器来查看 IIS 提供的身份:

        this.PreRequestFilters.Add((req, resp) =>
        {
            IAuthSession session = req.GetSession();
            if (session.UserName == null)
            {
                session.UserName = ((HttpRequestWrapper)req.OriginalRequest).LogonUserIdentity.Name;

                // Add permissions & roles here - IUserAuthRepository, ICacheClient, etc.

                req.SaveSession(session);
            }
        });
于 2014-03-31T20:24:50.093 回答
1

您是否在配置文件的 system.web 元素中启用了模拟?

<identity impersonate="true"/>

如果有东西试图访问受限制的资源,这可能会导致第二次失败。

您提到想要实现自定义逻辑来识别哪些用户可以访问系统。我假设

<allow roles="DomainName\WindowsGroup" />
<deny users="*" />

还不够。如果是,那就太好了,但除此之外,您还可以实现可能对您有所帮助的自定义角色提供程序。这需要使用 Forms 身份验证而不是 Windows,但这并不一定意味着您不能使用 Windows 凭据来验证您的用户 - 这只是意味着您必须自己做一些繁重的工作。

于 2013-03-19T16:29:18.440 回答