Cách triển khai xác thực tùy chỉnh trong ASP.NET MVC 5

Question 1

Tôi đang phát triển một ứng dụng ASP.NET MVC 5. Tôi có một DB hiện có, từ đó tôi đã tạo Mô hình Dữ liệu Thực thể ADO.NET của mình. Tôi có một bảng trong DB đó chứa cột "tên người dùng" và "mật khẩu" và tôi muốn sử dụng chúng để triển khai xác thực và ủy quyền trong Ứng dụng web của mình; Tôi không thể tạo bất kỳ cơ sở dữ liệu hoặc bảng hoặc cột nào khác và tôi không thể sử dụng xác thực Danh tính chuẩn do yêu cầu của khách hàng. Tôi không cần quản lý đăng ký, thay đổi mật khẩu hoặc những thứ khác: chỉ cần đăng nhập bằng mật khẩu và tên người dùng. Làm thế nào tôi có thể làm điều đó?

Question 2

Có, bạn có thể. Các bộ phận Xác thực và Ủy quyền hoạt động độc lập. Nếu bạn có dịch vụ xác thực của riêng mình, bạn chỉ có thể sử dụng phần ủy quyền của OWIN. Hãy xem xét bạn đã có một UserManagerxác thực usernamevà password. Do đó, bạn có thể viết mã sau trong hành động đăng nhập lại bài đăng của mình:

[HttpPost]
public ActionResult Login(string username, string password)
{
    if (new UserManager().IsValid(username, password))
    {
        var ident = new ClaimsIdentity(
          new[] { 
              // adding following 2 claim just for supporting default antiforgery provider
              new Claim(ClaimTypes.NameIdentifier, username),
              new Claim("http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/identityprovider", "ASP.NET Identity", "http://www.w3.org/2001/XMLSchema#string"),

              new Claim(ClaimTypes.Name,username),

              // optionally you could add roles if any
              new Claim(ClaimTypes.Role, "RoleName"),
              new Claim(ClaimTypes.Role, "AnotherRole"),

          },
          DefaultAuthenticationTypes.ApplicationCookie);

        HttpContext.GetOwinContext().Authentication.SignIn(
           new AuthenticationProperties { IsPersistent = false }, ident);
        return RedirectToAction("MyAction"); // auth succeed 
    }
    // invalid username or password
    ModelState.AddModelError("", "invalid username or password");
    return View();
}

Và trình quản lý người dùng của bạn có thể giống như sau:

class UserManager
{
    public bool IsValid(string username, string password)
    {
         using(var db=new MyDbContext()) // use your DbConext
         {
             // for the sake of simplicity I use plain text passwords
             // in real world hashing and salting techniques must be implemented   
             return db.Users.Any(u=>u.Username==username 
                 && u.Password==password); 
         }
    }
}

Cuối cùng, bạn có thể bảo vệ các hành động hoặc bộ điều khiển của mình bằng cách thêm một Authorizethuộc tính.

[Authorize]
public ActionResult MySecretAction()
{
    // all authorized users can use this method
    // we have accessed current user principal by calling also
    // HttpContext.User
}

[Authorize(Roles="Admin")]
public ActionResult MySecretAction()
{
    // just Admin users have access to this method
}