我正在使用表单身份验证.我的用户会被重定向到一个页面(写在web.config中),当他们登录,但他们中的一些可能没有访问此默认页面中的privilages.在这种情况下,我希望他们重定向到另一个页面,但RedirectFromLoginPage方法总是重定向到默认页面在web.config中.如何让用户登录,然后重定向到依赖于某些条件的页面?
我正在使用带有MySQL的asp.net mvc开发一个网站,我需要为用户更新网站中的一些信息创建一个简单的限制区域.所以,我在mvc应用程序中创建了一个名为"Admin"的区域,我知道如何使用Forms身份验证和Autorize属性来保护它!它工作正常,但在我的区域的每个控制器中,我必须设置Autorize属性以保护它们.有没有办法保护Web.config中的所有区域?我怎样才能做到这一点?
谢谢
干杯
security asp.net-mvc forms-authentication roles asp.net-mvc-areas
我发现Asp.Net中的很多东西都是基于假定的知识.例如,我对互联网认证不太了解,并且很难在初学者层面上找到任何关于它的信息.
令我困惑的一件事是AuthorizeAttribute.我理解如何使用它以及它应该做什么,但我想知道它是否适用于你有自定义登录系统的情况.
在AuthorizeAttribute页面的描述中,它简单地说
When you mark an action method with AuthorizeAttribute, access to that action method is restricted to users who are both authenticated and authorized.
那么什么是经过身份验证的用户,如何设置一个用户进行身份验证.如果我创建自己的登录系统,我该如何设置是为了使登录用户的身份验证足以让AuthorizeAttribute允许他进入?
我启动了一个新的MVC5项目并实现了表单身份验证(我曾经使用自定义代码来检查用户凭据以及FormsAuthentication登录和注销的对象).
现在我已经读过身份模型已经改变了,但是我在生成的代码中看到了这行代码:
private IAuthenticationManager AuthenticationManager
{
get
{
return HttpContext.GetOwinContext().Authentication;
}
}
因为稍后登录是在该对象上完成的(AuthenticationManager.SignIn)
我想确保我有正确的对象.
我已经读过OWIN是关于将ASP.NET与IIS分离的,所以我不确定为什么我需要这个GetOwinContext,因为我没有使用OWIN(至少我认为)?
我正在尝试为用户注册创建表单并添加一些自定义字段。为此,我将UserCretionForm子类化,并添加了django文档中所示的字段。然后,我基于此表单创建了基于函数的视图和模板。现在,我可以成功创建用户,并且该用户已按预期添加到管理面板中。问题是,我无法为该表单的字段添加类和样式。除用户名字段外,小部件不起作用。我在此处添加脚本,以更准确地说明我的问题:
表格
from django import forms
from django.contrib.auth.forms import UserCreationForm, AuthenticationForm
from django.contrib.auth.models import User
class SignUpForm(UserCreationForm):
first_name = forms.CharField(max_length=32, help_text='First name')
last_name = forms.CharField(max_length=32, help_text='Last name')
email = forms.EmailField(max_length=64, help_text='Enter a valid email address')
class Meta(UserCreationForm.Meta):
model = User
# I've tried both of these 'fields' declaration, result is the same
# fields = ('username', 'first_name', 'last_name', 'email', 'password1', 'password2', )
fields = UserCreationForm.Meta.fields + ('first_name', 'last_name', 'email',)
widgets = {
'username': forms.TextInput(attrs={'class': 'form-control', 'placeholder': 'Username'}),
'first_name': forms.TextInput(attrs={'class': 'form-control', …python authentication django forms-authentication user-registration
我通过创建Default.aspx和自定义登录页面来实现Forms身份验证login.aspx.如果未经身份验证的用户浏览Default.aspx,则会将用户重定向到login.aspx,并且仅当找到所提供凭据的匹配项时,才会将用户重定向到default.aspx.
但是当使用Firefox时,似乎所有浏览器实例都使用相同的身份验证cookie实例,因此如果浏览器B1中的用户以用户U1身份登录,则访问该Web应用程序的所有浏览器实例将以用户U1身份登录.因此,如果例如浏览器实例B1 第一次请求Default.aspx,它将立即被授予访问权限.
如果在我以用户U1登录后,我login.aspx 使用不同的用户名(例如用户U2)浏览并登录,然后在回发时,所有浏览器(以前以用户U1登录)现在将以用户U2登录.
如何防止这种行为,以便每个浏览器实例都会收到自己的身份验证cookie?
我正在使用ASP.NET MVC,我正在做的登录操作:
[AcceptVerbs("POST")]
public ActionResult Login(FormCollection form)
{
User validatedUser = // tests username/pwd here.
FormsAuthentication.RedirectFromLoginPage(
validatedUser.ID.ToString(), rememberMe);
if(String.IsNullOrEmpty(Request["ReturnUrl"]))
string redirectUrl = Request["ReturnUrl"];
if (!String.IsNullOrEmpty(Request.QueryString["ReturnUrl"]))
string redirectUrl = Request["ReturnUrl"];
}
当我在登录页面时,我的网址看起来像这样:
http://localhost:56112/user/login?ReturnUrl=/admin/settings
这里有什么不妥吗?
我的web.config:
<authentication mode="Forms">
<forms loginUrl="/user/login"
protection="All"
timeout="30"
name="SomeCookie"
requireSSL="false"
slidingExpiration="true"
defaultUrl="default.aspx" />
我有一个在WebLogic下运行的应用程序正在使用标准表单身份验证.登录页面是一个JSP,它显示将发布到j_security_check的登录表单.正如您所料,当用户尝试访问某个页面但尚未通过身份验证时,它们将被重定向到login.jsp.
我的问题是,在WebLogic将它们重定向到登录页面之前,如何确定用户尝试访问的页面?我希望使用它来根据用户的目的地更改登录页面的内容.我没有在请求ojbect中看到任何可以告诉我的内容.
谢谢你的任何提示!
如果我查看我的cookievalue .ASPXANONYMOUS它是一个字符串即
WZnX-rXHygEkAAAAOTFhZjE5YTctZmEzZi00MTMwLWEwNTAtYjYwMzI0N2M0NTY4gQUsRlThiJWAjBgmBnpeIba7eGo1
值Request.AnonymousID是Guid.
你怎么从ASPXANONYMOUS到AnonymousID?
我需要这个来调试我使用FormsAuthentication的一些问题.
场景:
我有一个带有webservices的ASP.Net/Silverlight网站,用于支持带有数据的Silverlight应用程序.该网站使用表单身份验证,因此Web服务也可以对请求进行身份验证.
现在我想从这个系统中将一些数据提取到Android应用程序中.我可以实现运行表单登录的代码,并存储身份验证cookie,但在webservice url中发送用户名和密码并验证每个调用实际上要简单得多.我并没有真正看到这个问题,因为通信是SSL加密的,但我很开放,否则会被说服;)
你怎么看 ?不好主意/没那么糟糕的主意?
结论:
在查看答案后,url请求字符串中针对name/pass的唯一真正有效的参数是它存储在服务器日志文件中.当然,这是我的服务器,如果该服务器被黑客入侵,它存储的数据也将被黑客攻击,但我仍然不喜欢日志中显示的密码.(这就是为什么它们被存储盐渍和加密)
解:
我将发布用户名和passord请求.最少的额外工作,更安全.