这里的代码比较长,但主要逻辑就是解析文章开头的配置信息。
简单总结一下程序实现的步骤:
1. 校对用户名和密码正确后,调用SetAuthenticationCookie将一些状态信息写入cookie。
2. 在HttpApplication的Authentication事件中,调用TryParsePrincipal获得状态信息。
3. 在需要验证的Action(或Controller)标记 RequestAuthorizeAttribute特性,并设置Roles和Users;Roles和Users也可以在配置文件中配置。
4. 在RequestAuthorizeAttribute的OnAuthorization方法中进行验证和权限逻辑处理。
四、总结
上面就是整个登录认证的核心实现过程,只需要简单配置一下就可以实现了。但实际项目中从用户注册到用户管理整个过程是比较复杂的,而且涉及到前后端验证、加解密问题。关于安全问题,FormsAuthentication在加密的时候,会根据服务器的MachineKey等一些信息进行加密,所以相对安全。当然,如果说请求被恶意拦截,然后被伪造登录还是有可能的,这是后面要考虑的问题了,例如使用安全的http协议https。
以上就是本文的全部内容,希望对大家的学习有所帮助。
