专栏首页技术小讲堂ASP.NET AJAX(10)__Authentication ServiceAuthentication ServiceAuthentication Service属性Authentication

ASP.NET AJAX(10)__Authentication ServiceAuthentication ServiceAuthentication Service属性Authentication

在通常情况下,如果使用AJAX方式调用WebService,则可能被恶意用户利用,造成性能以及安全性的问题,所以我们需要使用一些验证方式来保护WebService,最常见方式就是Forms Authentication,这也是一种用法很简单的方式

一个使用FormsAuthentication保护WebService调用的示例

首先创建一个名为ProtectedService的WebService,代码如下

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Services;
using System.Web.Security;
using System.Security.Authentication;

/// <summary>
///ProtectedService 的摘要说明
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
//若要允许使用 ASP.NET AJAX 从脚本中调用此 Web 服务,请取消对下行的注释。 
[System.Web.Script.Services.ScriptService]
public class ProtectedService : System.Web.Services.WebService
{
    [WebMethod]
    public int GetRandom()
    {
       
        return new Random(DateTime.Now.Millisecond).Next();
    }
}

这个WebService很简单啦,就是简单的返回一个随机数,

这样,这个WebService,是可以随意的被访问的,我们对这个WebService作如下修改

public int GetRandom()
    {
        if (!HttpContext.Current.User.Identity.IsAuthenticated)//验证当前用户是否已经登陆
        {
            throw new AuthenticationException("Error:please login first!");//若没有登陆,抛出一个异常
        }
        return new Random(DateTime.Now.Millisecond).Next();
    }

然后才创建aspx页面

前台代码:

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="FormsAuth.aspx.cs" Inherits="Demo09_FormsAuth" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
    <title></title>
    <script language="javascript" type="text/javascript">
        function getRandom() {
            ProtectedService.GetRandom(callback, failedCallback);
        }

        function callback(result) {
            alert(result);
        }

        function failedCallback(error) {
            alert(error.get_message());
        }
    </script>
</head>
<body>
    <form id="form1" runat="server">
        <asp:ScriptManager ID="ScriptManager1" runat="server">
            <Services>
                <asp:ServiceReference Path="~/Demo09/ProtectedService.asmx" />
            </Services>
        </asp:ScriptManager>
        
        <input type="button" value="Get Random" onclick="getRandom()" />
        <hr />
        <asp:Button ID="btnLogin" runat="server" Text="Login" 
            onclick="btnLogin_Click" />
        <asp:Button ID="btnLogout" runat="server" Text="Logout" 
            onclick="btnLogout_Click" />
    </form>
</body>
</html>

后台代码:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.Security;

public partial class Demo09_FormsAuth : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {

    }

    protected void btnLogin_Click(object sender, EventArgs e)
    {
        FormsAuthentication.SetAuthCookie("xiaoyaojian", false);//使用FormsAuthentication,登陆Username为xiaoyaojian的用户,false表示不使用持久化的Cookie
    }

    protected void btnLogout_Click(object sender, EventArgs e)
    {
        FormsAuthentication.SignOut();//注销用户
    }
}

这样,当我们直接点击Get Random按钮,则会出现一个Please login first,的错误提示,点击登陆后,再点击Get Random,正常出现一个随机数,再点击Logout,再去点击Get Random,则又会出现Please login first

我们使用了FormsAuthectication,只允许登陆用户正常调用我们创建的WebService,在一定程度上保护了WebService

Authentication Service

它提供了一种使用AJAX的方式进行身份验证的功能,他是基于ASP.NET的Membership的功能,可以使用VS理工的ASP.NET 2.0应用程序的配置工具来配置

使用Authentication Service

出于安全性的考虑,ASP.NET AJAX 在默认情况下不会开发Authentication Service功能

<authenticationService enabled="true|false" requireSSL="true|false" />

这里的第二个属性,是指定是否使用SSL连接,这是一个安全的连接方式,常在一些高安全性的应用中使用

身份验证的功能

//登陆

Sys.Service.AuthenticationService.login(

userName,//用户名

password,//密码

isPersistent,//是否生成持久化Cookie

customInfo,//预留字段

redirectUrl,//登陆成功后跳转目标

loginCompletedCallback,//身份验证完成回调函数(是完成,而不是成功)

failedCallback,//身份验证出错回调函数(出错,而不是没有通过验证,比如超时)

userContext//用户任意指定的上下文对象

);

//完成回调函数的签名

function loginCompletedCallback(

validCredentials,//身份验证是否成功,所以要看验证是否成功,是在这里看,而不是看是不是调用了failedCallback

userContext,//以后不写啦,浪费键盘

methodName,//Sys.Service.AuthenticationService.login

){…}

//出错回调函数签名

function failedCallback(

error,//错误对象

userContext,

methodName

){…}

//注销

Sys.Services.AuthenticationService.logout(

redirectUrl,//注销后跳转页面

logoutCompletedCallback,//注销成功的回调函数

failedCallback,//注销失败回调函数

userContext

);

//注销完成回调函数的签名

function loginCompletedCallback(

result,//预留参数

userContext,//

methodName,//Sys.Service.AuthenticationService.logout

){…}

//注销出错回调函数签名

function failedCallback(

error,//错误对象

userContext,

methodName

){…}

一个使用Authentication Service的示例

首先,我们需要运行ASP.NET 配置来给应用添加一个用户

在VS里打开我们创建的网站,然后点击“网站”——“asp.net配置”,在弹出的网页中选择"安全"选项卡,然后点击“创建用户”,输入一些必要信息,点确定就可以了(这里我使用:用户名“xiaoyaojian”,密码“123123.”)

然后创建一个ASPX页面

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="AuthService.aspx.cs" Inherits="Demo09_AuthService" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head id="Head1" runat="server">
    <title></title>
    <script language="javascript" type="text/javascript">
        function getRandom() {
            ProtectedService.GetRandom(callback, failedCallback);
        }

        function callback(result) {
            alert(result);
        }

        function failedCallback(error) {
            alert(error.get_message());
        }

        function login() {
            Sys.Services.AuthenticationService.login(
                document.getElementById("txtName").value,
                document.getElementById("txtPassword").value,
                false,
                null,
                null,
                loginCompleted,
                failedCallback,
                null);
        }

        function loginCompleted(validCridentials, userContext, methodName) {
            alert(validCridentials ? "Congratulations!" : "Failed to login to the system.");
        }

        function failedCallback(error) {
            alert(error.get_message());
        }

        function logout() {
            Sys.Services.AuthenticationService.logout(
                null,
                logoutCompleted,
                failedCallback,
                null);
        }

        function logoutCompleted(result, userContext, methodName) {
            alert("You have logged out of the system");
        }
    </script>
</head>
<body>
    <form id="form1" runat="server">
        <asp:ScriptManager runat="server" ID="ScriptManager1">
            <Services>
                <asp:ServiceReference Path="ProtectedService.asmx" />
            </Services>
        </asp:ScriptManager>
        <div>
            <input type="button" onclick="getRandom()" value="Get Random" />
            <hr />
            Name: <input type="text" id="txtName" /><br />
            Password: <input type="password" id="txtPassword" /><br />
            <input type="button" onclick="login()" value="Login" />
            <input type="button" onclick="logout()" value="Logout" />
        </div>
    </form>
</body>
</html>

这个例子的用法是和我们上一个一样的,但是这里我们使用的是AJAX方式来验证

Authentication Service属性

  • timeout属性:设置超时时间(Sys.Service.AuthecticationService.get_timtout()/set_timeout())
  • defaultLoginCompletedCallback//默认登陆成功
  • defaultLoginoutCompletedCallback//默认登出失败
  • defaultFailedCallback//错误

Authentication Service实现

Authentication Service的功能就是为我们提供一种以AJAX方式登陆和注销用户的功能,如果我们自己来实现,就会使用客户端调用WebService来实现这样的功能,而它给我们提供了更多的,比如跳转之类,实际上他的内部还是通过FormsAuthentication来实现的,他是对客户端执行服务器端方法给出一个特殊实现,调用了定义在程序集中的AuthenticationService类,最终工作的为Login(string,string.bol)和logout()两个方法

Authentication Service扩展

扩展AuthenticationService的功能,就是要改变用户认证的方式,在ASP.NET中与用户认证相关的模型就有Membership,正常情况下,我们扩展Membership,就可以实现这个功能了,但是事实上,如果我们要扩展一个Membership,就需要实现多达27个成员,

那么我们就可以找到一个简便的方法 ,就是实现MembershipProvider的ValidateUser方法

一个扩展Membership的示例

创建一个类文件,名为SampleMembershipProvider.cs

using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;


public class SampleMembershipProvider : MembershipProvider
{
    public override string ApplicationName
    {
        get
        {
            return "Sample Membership Provider";
        }
        set
        {

        }
    }

    public override bool ChangePassword(string username, string oldPassword, string newPassword)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override bool ChangePasswordQuestionAndAnswer(string username, string password, string newPasswordQuestion, string newPasswordAnswer)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override MembershipUser CreateUser(string username, string password, string email, string passwordQuestion, string passwordAnswer, bool isApproved, object providerUserKey, out MembershipCreateStatus status)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override bool DeleteUser(string username, bool deleteAllRelatedData)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override bool EnablePasswordReset
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override bool EnablePasswordRetrieval
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override MembershipUserCollection FindUsersByEmail(string emailToMatch, int pageIndex, int pageSize, out int totalRecords)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override MembershipUserCollection FindUsersByName(string usernameToMatch, int pageIndex, int pageSize, out int totalRecords)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override MembershipUserCollection GetAllUsers(int pageIndex, int pageSize, out int totalRecords)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override int GetNumberOfUsersOnline()
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override string GetPassword(string username, string answer)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override MembershipUser GetUser(string username, bool userIsOnline)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override MembershipUser GetUser(object providerUserKey, bool userIsOnline)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override string GetUserNameByEmail(string email)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override int MaxInvalidPasswordAttempts
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override int MinRequiredNonAlphanumericCharacters
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override int MinRequiredPasswordLength
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override int PasswordAttemptWindow
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override MembershipPasswordFormat PasswordFormat
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override string PasswordStrengthRegularExpression
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override bool RequiresQuestionAndAnswer
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override bool RequiresUniqueEmail
    {
        get { throw new Exception("The method or operation is not implemented."); }
    }

    public override string ResetPassword(string username, string answer)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override bool UnlockUser(string userName)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override void UpdateUser(MembershipUser user)
    {
        throw new Exception("The method or operation is not implemented.");
    }

    public override bool ValidateUser(string username, string password)
    {
        if (username == "xiaoyaojian" && password == "123123..")
        {
            return true;
        }

        return false;
    }
}

我们继承了MembershipProvider,它是个抽象类,有好多方法要我们实现,实际上如果我们要简单实现,只需要重写他的ValidateUser类就可以了,所以我们只需要在那个方法里写如下代码

if (username == "xiaoyaojian" && password == "123123.")
        {
            return true;
        }

        return false;

定义好这个类以后,我们就需要在web.config中进行配置

在<system.web>节点下添加如下内容

<membership defaultProvider="SampleProvider">
        <providers>
          <add name="SampleProvider" type="SampleMembershipProvider"/>
        </providers>
      </membership>

因为我们只实现了一个方法,所以就不要也不可以在配置中配置其他属性

再次打开上面的页面,回发现只有在Name为“xiaoyaojian” Password为“123123..”的情况下,验证才会通过,也就是说,系统现在调用的是我们定义的membershipprovider

如果扩展Authentication Service

  • 显然扩展ASP.NET功能相当复杂
  • 不如扩展Authentication Service,只需要实现两个方法
  • 有些时候我们不得不扩展它,因为扩展Membership只能修改用户信息的存储/验证方式,而不能真正改变认证方式

那么,如果我们决定要这么做了,就需要写一个WebService,把它配置给ScriptManager,这个WebService主体结构如下

[System.Web.Script.Services.ScriptService]
public class SessionAuthenticationService : System.Web.Services.WebService
{
    [WebMethod]
    public bool Login(string userName, string password, bool createPersistentCookie)
    {
      
    }

    [WebMethod]
    public void Logout()
    {
      
    }
}

注意:这里的参数列表包括参数名都必须与示例完全的相同

一个扩展Authentication Service示例

创建一个名为SessionAuthenticationService.asmx的WebService

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Services;
using System.Web.Security;

/// <summary>
///SessionAuthenticationService 的摘要说明
/// </summary>
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
//若要允许使用 ASP.NET AJAX 从脚本中调用此 Web 服务,请取消对下行的注释。 
[System.Web.Script.Services.ScriptService]
public class SessionAuthenticationService : System.Web.Services.WebService
{
    [WebMethod(EnableSession = true)]
    public bool Login(string userName, string password, bool createPersistentCookie)
    {
        if (Membership.Provider.ValidateUser(userName, password))
        {
            HttpContext.Current.Session["User"] = true;
            return true;
        }
        else
        {
            return false;
        }
    }

    [WebMethod]
    public void Logout()
    {
        HttpContext.Current.Session.Remove("User");
    }
}

然后我们再次修改上面的页面,

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="AuthService.aspx.cs" Inherits="Demo09_AuthService" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head id="Head1" runat="server">
    <title></title>
    <script language="javascript" type="text/javascript">
        function getRandom() {
            ProtectedService.GetRandom(callback, failedCallback);
        }

        function callback(result) {
            alert(result);
        }

        function failedCallback(error) {
            alert(error.get_message());
        }

        function login() {
            Sys.Services.AuthenticationService.login(
                document.getElementById("txtName").value,
                document.getElementById("txtPassword").value,
                false,
                null,
                null,
                loginCompleted,
                failedCallback,
                null);
        }

        function loginCompleted(validCridentials, userContext, methodName) {
            alert(validCridentials ? "Congratulations!" : "Failed to login to the system.");
        }

        function failedCallback(error) {
            alert(error.get_message());
        }

        function logout() {
            Sys.Services.AuthenticationService.logout(
                null,
                logoutCompleted,
                failedCallback,
                null);
        }

        function logoutCompleted(result, userContext, methodName) {
            alert("You have logged out of the system");
        }
    </script>
</head>
<body>
    <form id="form1" runat="server">
        <asp:ScriptManager runat="server" ID="ScriptManager1">
            <Services>
                <asp:ServiceReference Path="ProtectedService.asmx" />
            </Services>
            <AuthenticationService Path="~/Demo09/SessionAuthenticationService.asmx" />
        </asp:ScriptManager>
        <div>
            <input type="button" onclick="getRandom()" value="Get Random" />
            <hr />
            Name: <input type="text" id="txtName" /><br />
            Password: <input type="password" id="txtPassword" /><br />
            <input type="button" onclick="login()" value="Login" />
            <input type="button" onclick="logout()" value="Logout" />
        </div>
    </form>
</body>
</html>

输入用户名xiaoyaojian密码123123..,点击Login,弹出成功的提示,但是我们点击GetRandom,是不会出现随机数的,因为我们没有执行FormsAuthentication.setAuthCookie,这也正好证明了我们扩展的AuthenticationService正常工作啦

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • ASP.NET AJAX(4)__客户端访问WebService服务器端释放WebService方法客户端访问WebService客户端访问PageMethod错误处理复杂数据类型使用基础客户端代理的

    服务器端释放WebService方法 编写一个普通的WebService 为WebService类添加自定义的属性标记__ScriptServiceAttrib...

    小白哥哥
  • ASP.NET Web API中的依赖注入什么是依赖注入ASP.NET Web API依赖解析器使用Unity解析依赖配置依赖解析

    什么是依赖注入     依赖,就是一个对象需要的另一个对象,比如说,这是我们通常定义的一个用来处理数据访问的存储,让我们用一个例子来解释,首先,定义一个领域模型...

    小白哥哥
  • State模式的经典应用场景:订单处理(c#实现)场景描述遇到问题解决问题走起

    State模式在对象内部状态发生变化的时候,改变自身的行为,这通常是通过切换内部状态对象实现的,对象将自身在各个状态的行为推给了状态对象,从而解开了行为与对象的...

    小白哥哥
  • c# UDP/TCP协议简单实现(简单聊天工具)

    1、用户登陆于服务器通信用到的tcp协议,服务器接收到用户登陆信息(包括ip,端口,用户名等)后,返回已经登陆的用户列表信息(包括ip,端口,用户名等)给这个用...

    冰封一夏
  • 《ASP.NET Core 与 RESTful API 开发实战》-- (第6章)-- 读书笔记(下)

    示例对 authors 资源按照其属性 Age 升序排序,再按 BirthPlace 属性降序排序:https://localhost:5000/api/aut...

    郑子铭
  • 【设计模式】——工厂方法FactoryMethod

      前言:【模式总览】——————————by xingoo   模式意图   工厂方法在MVC中应用的很广泛。   工厂方法意在分离产品与创建的两个层次,使用...

    用户1154259
  • 基于ZYNQ的SOC——Hellow_World实验

      ZYNQ是一款SOC芯片,之前使用VGA做过的实验只是PL(Programmable Logic)部分,而ZYNQ最突出的功能,就是内部的双核Cortex-...

    NingHeChuan
  • ASP.NET MVC的Model元数据与Model模板:将”ListControl”引入ASP.NET MVC

    我们不仅可以创建相应的模板来根据Model元数据控制种类型的数据在UI界面上的呈现方法,还可以通过一些扩展来控制Model元数据本身。在某些情况下通过这两者的结...

    蒋金楠
  • C# 基础知识系列- 14 IO篇 文件的操作(2)

    除了上文提到的 GetDirectories 方法可以直接返回目录下所有子目录以外,还有一组方法也可以枚举出当前目录下的子目录:

    程序员小高
  • [Spring cloud 一步步实现广告系统] 10. 使用Ribbon 实现微服务调用

    在使用Ribbon调用广告投放系统API之前,我们需要先创建2个VO对象,AdPlanVO,AdPlanGetRequestVO.

    Isaac Zhang

扫码关注云+社区

领取腾讯云代金券