身份验证(表单验证),Cookies及对称加密(ASP.net-1.1)
身份验证(表单验证),Cookies及对称加密(ASP.net-1.1)
一、身份验证的三种模式:
ASP.net下的身份验证模式有大致有三种,一是windows验证,就是每一个来访都都要求有一个windows帐号,这种验证是最安全的,但也是最昂贵的,因为你得为每一个来访用户添加一个windows帐号。这对于一些中小型网站,确切的说是没有自己独立的服务器的B/S模式应该程序来说,都是不可能的事。
第二种方案是用MS的Passpost验证,这种验证是MS提供的一种集中式身份验证,如果用户启用了Passport身份验证的网站上登录,他就被自动转移到passport网站,在输入用户名和口令之后,再被转移回来。这种方案的好外是你不用管理用户名和帐号了,MS都帮你做了。然而,它的部署有些麻烦,而且使用验证时,也比较麻烦,要来回进行部署。你可以到www.passport.com或者在MS的网站上查找相关信息。
第三种方案就是我今天要重点说明的,表单验证模式。
二、表单验证:
你可以在web.config中启动表单验证。
< authentication mode ="Forms" > < forms loginUrl ="login.aspx" protection ="None" name ="WebbUser" path ="/" /> </ authentication > 详细的说明可以在MSDN里查找authentication。添加完认证后,就是做一个登录页而,让用户取得认证。在DotNet下,已经很好的集成了认证票据的生成模式。认证票据其实就是一个加密了的Cookies,后面我将说明如何自己定义票据,及自己定义加密的Cookies来做自己的票据类。
当取得用户的登录名与密码后(一般是从数据库里查询并验证),如果用户是合法的,那么就应该给用户设置一个认证的票据:
FormsAuthentication.RedirectFromLoginPage(); 上面的方法给用户添加一个认证并返回访问的页面上去。从此,用户的机器上就多了一个Cookies了,这个Cookies就是用户认证的信息,当然它是经加密了的。这样,用户就可以访问要求身份验证的页面了,因为这时候,用户的所用访问都将带着这个Cookies来提交了。
我们可以从Form的User的实例上取得用户的验证信息,它其实是FormsIdentity的一个实例:
private void Page_Load( object sender, System.EventArgs e)
{
// Put user code to initialize the page here Response.Write( this .User.Identity.AuthenticationType + " <br> " ); Response.Write( this .User.Identity.IsAuthenticated + " <br> " ); Response.Write( this .User.Identity.Name + " <br> " ); 
} 以上代码输出经过验证后的用户信息。我们可以自己返回验证的票据:
private void Page_Load( object sender, System.EventArgs e) { // Put user code to initialize the page here FormsIdentity m_identity = this .User.Identity as FormsIdentity; FormsAuthenticationTicket m_ticket = m_identity.Ticket; Response.Write(m_ticket.CookiePath + " <br/> " ); Response.Write(m_ticket.Expiration.ToString() + " <br/> " ); Response.Write(m_ticket.Expired + " <br/> " ); Response.Write(m_ticket.IsPersistent + " <br/> " ); Response.Write(m_ticket.IssueDate + " <br/> " ); Response.Write(m_ticket.Name + " <br/> " ); Response.Write(m_ticket.UserData + " <br/> " ); Response.Write(m_ticket.Version + " <br/> " ); } 注意上面的UserData,如果你用的是FormsAuthentication.RedirectFromLoginPage();那么它是一个空的字符串。当然我们可自己定义这里面的数据,它是一个任意长度的字符串(当然,可能会受到Cookies大小的限制)。
三、自定义验证票据:
在登录页面上,我们可以自己定义一个票据,然后添加到用户的Cookies里,一样起到表单验证的效果:
public virtual void Login( bool i_autoLogin) { string m_userData = this .m_userID.ToString() + " , " + this .m_loginName + " , " + this .m_userType.ToString(); FormsAuthenticationTicket ticket = new FormsAuthenticationTicket( 1 , " WebbUser " , System.DateTime.Now, System.DateTime.Now.AddDays( 30 ), i_autoLogin, m_userData, " /WAVE/ " ); string encTicket = FormsAuthentication.Encrypt(ticket); HttpContext.Current.Response.Cookies.Add( new HttpCookie( " WebbUser " , encTicket)); // HttpCookie m_cookie = new HttpCookie( " WebbExpires " ); m_cookie.Value = m_userData; m_cookie.Expires = System.DateTime.Now.AddDays( 30 ); HttpContext.Current.Response.Cookies.Set(m_cookie); } 这里,我给UserData添加了一个形式如:"UserID|UserName|UserType"的字符串数据!这样,我们就可以在用户通过认证后,从用户的Identity票据里取得这些信息,当然再加工一下就可以成为有用的信息了。这里的string encTicket = FormsAuthentication.Encrypt(ticket);是一个加密过程,当然如果你省掉,那么系统在取加数据时就会出错,因为取回数据时,用到了Decrypt来解密,如果你没有加密,那当然在解密的时候就会出错。
如果自己定义一个Ticket,那么同样的,在用户的机器上也会多了一个Cookies,有兴趣的可以自己用Trace来看一下添加的Cookies,它是一个不等长的加密字符串,但名字是上面我们定义的。
四、自己用Cookies进行验证:
这是一个很灵活的方法,当然,一般没有必要这样进行验证。方法与ASP里用Session的验证差不多,但我们可以创建一个持久的Cookies来进行验证用及角色。
首先还在登录页面上用于添加一个用户认证的Cookies:
public virtual void Login( long i_days) { HttpCookie m_cookie = new HttpCookie( " WebbUser " ); string m_value = this .m_loginName + " | " + this .m_userID.ToString() + " | " + this .m_userType.ToString(); // m_cookie.Value = FormsAuthentication.Encrypt(m_value); m_cookie.Value = m_value; m_cookie.Expires = DateTime.Now.AddDays(i_days); HttpContext.Current.Response.Cookies.Add(m_cookie); } 这样看上去更简单,而且我们可以自己对这样的数据进行管理。例如,先做一个所有Form的BasePage,它实现一个WebUser或者WebVisitor类,并为设定为只读属性或者公有成员。在页面初始化的时候,就先读取数据:
public void LoadDataFromCookies() { HttpCookie m_cookies = HttpContext.Current.Request.Cookies[ " WebbUser " ]; if (m_cookies == null ) return ; string [] m_data = m_cookies.Value.Split( ' | ' ); if (m_data.Length < 3 ) return ; this .m_loginName = m_data[ 0 ]; this .m_userID = Convert.ToInt64(m_data[ 1 ]); this .m_userType = WebbUser.ConvertStringToUserTypes(m_data[ 2 ]); } 当然,这个User类(我们自己定义的,不是Form里的User)是有默认数据,也就是没有认证时候的信息。
之后,我们就可以在所有的子类页面上随时对用户进行认证:
private void Page_Load( object sender, System.EventArgs e) { // Put user code to initialize the page here this .CheckVisitorType(Webb.Web.BasePage.WebbUser.UserTypes.Admin); Response.Write( this .WebbVisitor.UserType); Response.Write( this .WebbVisitor.UserID); Response.Write( this .WebbVisitor.LoninName); } 当然,上面的CheckVisitorType是自己定义的了。这样,不仅可以完成对用户的认证,还可以对用户的角色进行十分灵活的设置,如果再进一步的细化User类(因为有ID,所以可以在数据库里添加很多详细的信息),就可以完全实现个性化的User了!
五、Cookies的加密:
如系统自己带的票据一样,我们也可以添加一个加密的工作。因为我们不仅要加密,而且还要解密,因此不能采用Hash加密方法(虽然这个方法很好,其中最常用的Hash128位加密,也就是MD5加密在B/S的网站上经常使用)。这里有两个方案可选:对称加密与非对称加密。非对称加密就是分开密钥,这里不作说明,有兴趣的可以参考一些公开密钥的文章,或者一些数字签名的内容。我采用了简单的对称加密对Cookies加密。
.net下有DES-United states data encryption standard,Triple Des(三次DES加密),RC2及Rijndael几种加密算法,每个算法有一个提供类来支持具体的加密与解密工作,可以对文件等进行加密。这里简单的说明介绍一下DES加密。
DES加密要事先提供一个密码:Key及一个初始向量:IV(Initial Vector)来进行初始化,而这个Key及IV都必须是8个字节的数据。
这里简单的实现了一个加密与解密:
using System;
using System.IO;
using System.Web;
using System.Security.Cryptography;
using System.Globalization;
using System.Text;
using System.ComponentModel;
/// <summary> /// DES encrypt. /// </summary> /// <param name="i_key"></param> /// <param name="i_IV"></param> /// <param name="i_data"></param> /// <returns></returns> public static string Encrypt( string i_key, string i_IV, string i_data) { byte [] m_keys = Encoding.ASCII.GetBytes(i_key); byte [] m_IVs = Encoding.ASCII.GetBytes(i_IV); byte [] m_data = Encoding.ASCII.GetBytes(i_data); DESCryptoServiceProvider m_DES = new DESCryptoServiceProvider(); ICryptoTransform m_encrypt = m_DES.CreateEncryptor(m_keys,m_IVs); byte [] m_result = m_encrypt.TransformFinalBlock(m_data, 0 ,m_data.Length); m_encrypt.Dispose(); m_DES.Clear(); return BitConverter.ToString(m_result); } /// <summary> /// DES descrypt. /// </summary> /// <param name="i_key"> Keys </param> /// <param name="i_IV"> initial vector </param> /// <param name="i_data"> Data </param> /// <returns></returns> public static string Decrypt( string i_key, string i_IV, string i_data) { string [] m_datas = i_data.Split( ' - ' ); byte [] m_values = new byte [m_datas.Length]; Int32Converter m_i32Converter = new Int32Converter(); for ( int i = 0 ;i < m_datas.Length;i ++ )
{
m_values[i] = Convert.ToByte(m_i32Converter.ConvertFromInvariantString( " 0x " + m_datas[i]).ToString());
} byte [] m_keys = Encoding.ASCII.GetBytes(i_key); byte [] m_IVs = Encoding.ASCII.GetBytes(i_IV); byte [] m_data = Encoding.ASCII.GetBytes(i_data); DESCryptoServiceProvider m_DES = new DESCryptoServiceProvider(); ICryptoTransform m_encrypt = m_DES.CreateDecryptor(m_keys,m_IVs); byte [] m_result = m_encrypt.TransformFinalBlock(m_values, 0 ,m_values.Length); return Encoding.ASCII.GetString(m_result); } 注意:1、这里的i_key及i_IV都必须是8个字节的,也就是说必须是ASCII的8个字符串,否则在加密及解密中会抛出异常!有了这个加密与解密后,我们就可以对自己定义的Cookies进行加密,然保存在用户的机器上了。
2、这里的Key与IV不仅是初始化算法所必须的,也是解密时所必须的。
六、加密数据溢出问题:
上面已经强调了很多次,KEY及IV都必须是8个字节的,否则出现错误。这对于程序员来说很好理解,但对于用户来说,可就不是什么好事了。如果用少于或者多于8个字节的KEY或者IV来调用加密或者解密函数,都将出现错误。这个可以由程序员来决定,或者将KEY及IV事先就选择好,也就不会有问题了。注意加密与解密所选择的Encoding字符集,不同的字符集得到的结果是不样的。
七、附加MD5密码函数:
/// <summary> /// /// </summary> /// <param name="str_inString"></param> /// <returns></returns> static public string GetMD5( string i_data) { byte [] m_datas = Encoding.ASCII.GetBytes(i_data); MD5CryptoServiceProvider m_MD5 = new MD5CryptoServiceProvider(); byte [] m_value = m_MD5.ComputeHash(m_datas); return BitConverter.ToString(m_value); } 总结:其实.net下的表单验证就是一个Cookies,我们不仅可以自己定义验证票据,而且还可以自己模拟验证模式来自己添加Cookies来更加灵活的进行用户身份验证及角色处理。
