5

我开始使用新的身份管理并且有一个简单的需求。当我的用户使用错误的名称登录时,它会报告密码错误。如何更改它,以便它还使用 dbcontext 方法检查用户名是否存在?

    public ActionResult Login(LoginViewModel model, string returnUrl)
    {
        if (ModelState.IsValid)
        {
            // Validate the password
            IdentityResult result = IdentityManager.Authentication.CheckPasswordAndSignIn(AuthenticationManager, model.UserName, model.Password, model.RememberMe);
            if (result.Success)
            {
                return Redirect("~/home");
            }
            else
            {
                AddErrors(result);
            }
        }

        // If we got this far, something failed, redisplay form
        return View(model);
    }
4

3 回答 3

15

我这样做了:

        var UserManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(new ApplicationDbContext()));

        if (UserManager.FindByName("Admin") == null)
        {
            var user = new ApplicationUser() { UserName = "Admin" };
            UserManager.Create(user, "Admin123");
            UserManager.AddToRole(user.Id, "Admin");
        }
于 2014-02-26T00:36:14.790 回答
8

这是一个坏主意

如果您要验证用户名,并报告该用户名不存在,则您允许潜在的黑客轻松确定通过该网站注册的用户名。

返回给用户的实际错误消息是 (ASPNET.Identity v1):

Invalid username or password

否则,如详细说明,您可以通过以下方式检查具有给定用户名的用户是否存在:

var user = await UserManager.FindByNameAsync(username);
于 2014-02-26T01:00:10.610 回答
0

我相信这篇文章与如何使我的 MVC5 ASP.NET 身份登录操作检查用户名是否存在?

解决此问题的一种方法是在数据库中查找以查看用户是否存在 - 类似于 -> if(myUserRepository.GetUserByUserName(model.UserName) != null) *User exists*

还应该有一个 UserManager.FindByName(model.UserName) 方法可以做同样的事情

但更重要的是,您确定要这样做吗?如果您给出一条错误消息,指出用户名错误,您就可以让黑客有机会找到有效的用户名。然后,他们可以运行脚本来尝试您网站上的所有用户名并获取有效用户名列表。

于 2013-11-25T08:49:39.673 回答