实现一个提供安全服务的HTTP模块
现在我们实现一个HTTP模块,它为我们的Web应用程序提供安全服务。该HTTP模块基本上是提供一种定制的身份认证服务。它将接收HTTP请求中的身份凭证,并确定该凭证是否有效。如果有效,与用户相关的角色是什么?通过User.Identity对象,它把这些角色与访问我们的Web应用程序页面的用户的标识关联起来。
下面是该HTTP模块的代码:
- using System;
- using System.Web;
- using System.Security.Principal;
- namespace SecurityModules
- {
- /// Class1的总体描述。
- public class CustomAuthenticationModule : IHttpModule
- {
- public CustomAuthenticationModule()
- {
- }
- public void Init(HttpApplication r_objApplication)
- {
- // 向Application 对象注册事件处理程序。
- r_objApplication.AuthenticateRequest +=
- new EventHandler(this.AuthenticateRequest) ;
- }
- public void Dispose()
- {
- // 此处空出,因为我们不需要做什么操作。
- }
- private void AuthenticateRequest(object r_objSender,EventArgs r_objEventArgs)
- {
- // 鉴别用户的凭证,并找出用户角色。。
- 1. HttpApplication objApp = (HttpApplication) r_objSender ;
- 2. HttpContext objContext = (HttpContext) objApp.Context ;
- 3. if ( (objApp.Request["userid"] == null) ||
- 4. (objApp.Request["password"] == null) )
- 5. {
- 6. objContext.Response.Write("<H1>Credentials not provided</H1>") ;
- 7. objContext.Response.End() ;
- 8. }
- 9. string userid = "" ;
- 10. userid = objApp.Request["userid"].ToString() ;
- 11. string password = "" ;
- 12. password = objApp.Request["password"].ToString() ;
- 13. string[] strRoles ;
- 14. strRoles = AuthenticateAndGetRoles(userid, password) ;
- 15. if ((strRoles == null) || (strRoles.GetLength(0) == 0))
- 16. {
- 17. objContext.Response.Write("<H1>We are sorry but we could not
- find this user id and password in our database</H1>") ;
- 18. objApp.CompleteRequest() ;
- 19. }
- 20. GenericIdentity objIdentity = new GenericIdentity(userid,
- "CustomAuthentication") ;
- 21. objContext.User = new GenericPrincipal(objIdentity, strRoles) ;
- }
- private string[] AuthenticateAndGetRoles(string r_strUserID,string r_strPassword)
- {
- string[] strRoles = null ;
- if ((r_strUserID.Equals("Steve")) && (r_strPassword.Equals("15seconds")))
- {
- strRoles = new String[1] ;
- strRoles[0] = "Administrator" ;
- }
- else if ((r_strUserID.Equals("Mansoor")) && (r_strPassword.Equals("mas")))
- {
- strRoles = new string[1] ;
- strRoles[0] = "User" ;
- }
- return strRoles ;
- }
- }
- }
#p#
我们研究一下上面的代码
我们是从Init函数开始的。这个函数把处理程序的AuthenticateRequest事件插入Application(应用程序)对象的事件处理程序列表中。这将导致引发AuthenticationRequest事件的时候Application调用该方法。
我们的HTTP模块初始化之后,我们就可以调用它的AuthenticateRequest方法来鉴别客户端请求。AuthenticateRequest方法是该安全/身份认证机制的核心。在这个函数中:
1和2行提取HttpApplication和HttpContext对象。3到7行检测是否没有给我们提供了用户id或密码。如果没有提供,就显示错误信息,请求处理过程终止。
9到12行从HttpRequest对象中提取用户id和密码。
14行调用一个叫做AuthenticateAndGetRoles的辅助(helper)函数。这个函数主要执行身份验证并决定用户角色。上面的代码采用了硬编码(hard-coded),只允许两个用户使用,但是我们可以扩展这个方法,并添加代码与用户数据库交互操作并检索用户的角色。
16到19行检测是否有角色与用户关联。如果没有就意味着传递给我们的凭证没有通过验证;因此该凭证是无效的。因此,给客户端发送一个错误信息,并且请求结束了。
20和21行非常重要,因为这两行实际上告诉ASP.NET HTTP运行时已登录用户的身份。这两行成功执行以后,我们的aspx页面就能够使用User对象访问这些信息了。
现在我们看一看这种身份验证机制的运行情况。目前我们只允许下面两个用户登录到系统:
· User id = Steve, Password = 15seconds, Role = Administrator
· User id = Mansoor, Password = mas, Role = User
注意用户id和密码是大小写敏感的(区分大小写)。
首先试图不提供凭证登录系统,在IE中输入http://localhost/webapp2/index.aspx将看到下面的消息:
现在试图使用用户id“Steve”和密码“15seconds”登录系统。输入 http://localhost/webapp2/index.aspx?userid=Steve&password=15seconds你将看到下面的欢迎消息:
现在试图使用用户id“Mansoor”和秘码“mas”登录系统。输入http://localhost/webapp2/index.aspx?userid=Mansoor&password=mas你将看到下面的欢迎消息页面:
现在试图使用错误的用户id和密码组合来登录系统。输入http://localhost/webapp2/index.aspx?userid=Mansoor&password=xyz你将看到下面的错误消息:
这表明我们的安全模块在起作用了。你可以通过在AuthenticateAndGetRoles方法中使用数据库访问代码来扩展该安全模块。
要使所有的部分都起作用,我们必须对web.config文件进行一些修改。首先,由于我们要使用自己的身份验证,因此不需要其它的身份验证机制。为了达到这个目的,改变webapp2的web.config文件中的<authentication>节点,如下所示:
- <authentication mode="None"/>
类似地,不允许匿名用户访问我们的Web站点。给web.config文件添加下面的语句:
- <authorization>
- <deny users="?"/>
- </authorization>
用于至少能够匿名访问用于提供凭证的文件。在web.config文件中使用下面的配置设置信息把index.aspx作为***能够匿名访问的文件:
- <location path="index.aspx">
- <system.web>
- <authorization>
- <allow users="*"/>
- </authorization>
- </system.web>
- </location>
#p#
结论
你可能已经意识到有了HTTP处理程序和模块后,ASP.NET已经给开发者提供了强大的能量。把你自己的组件插入ASP.NET请求处理管道,享受它的优点吧。
作为练习,你应该进一步改进程序,使示例身份验证模块更加灵活,并能根据用户的需要进行调整。
【编辑推荐】
