ASP.NET MVC-カスタムIIdentityまたはIPrincipalを設定する

650

かなり単純なことをする必要があります。ASP.NETMVCアプリケーションで、カスタムIIdentity / IPrincipalを設定します。どちらか簡単な方が適しています。User.Identity.Idandのようなものを呼び出すことができるように、デフォルトを拡張したいと思いますUser.Identity.Role。特別なものはありません。

たくさんの記事や質問を読みましたが、実際よりも難しくなっているように感じます。簡単だと思いました。ユーザーがログオンした場合、カスタムIIdentityを設定したいと思います。だから私Application_PostAuthenticateRequestは自分のglobal.asaxに実装するつもりだと思った。ただし、それはすべての要求で呼び出され、データベースからすべてのデータを要求してカスタムIPrincipalオブジェクトに入れるすべての要求でデータベースを呼び出したくありません。それも非常に不必要で、遅く、間違った場所（データベースの呼び出しを行う）のようですが、私は間違っている可能性があります。または、そのデータはどこから来ますか？

そのため、ユーザーがログインするたびに、必要な変数をセッションに追加でき、それをApplication_PostAuthenticateRequestイベントハンドラーのカスタムIIdentityに追加すると思いました。しかし、私Context.Sessionはnullそこにいるので、それも進むべき道ではありません。

私はこれに1日間取り組んでおり、何かが足りないように感じています。これは難しいことではないでしょう？また、これに付属している（準）関連のすべてのものにも少し混乱しています。MembershipProvider、MembershipUser、RoleProvider、ProfileProvider、IPrincipal、IIdentity、FormsAuthentication...アム私のすべてこれは非常に混乱見つかっただけ？

誰かが私に、IIdentityに余分なデータを保存するためのシンプルでエレガントで効率的なソリューションを教えてくれれば、余分なファズをすべてなくすことができるといいですね。SOにも同様の質問があることは知っていますが、必要な答えがそこにある場合は、見落としているに違いありません。

— ラジー
ソース

1

こんにちはドミ、ユーザーIDなどの変更されないデータのみを保存するか、ユーザーがCookieにすぐに反映する必要のあるデータを変更した直後にCookieを更新することの組み合わせです。ユーザーがそれを行う場合は、新しいデータでCookieを更新するだけです。ただし、頻繁に変更されるデータは保存しないようにしています。

— Razzie、2012年

26

この質問には36kのビューと多くの賛成票があります。これは本当に一般的な要件ですか？そうであれば、このすべての「カスタムのもの」よりも良い方法はありませんか？

— Simon_Weaver 2013

2

@Simon_Weaver ASP.NET Identityがあり、暗号化されたCookieの追加のカスタム情報をより簡単にサポートします。

— ジョン

1

：私はあなたに同意あなたが投稿のように、多くの情報にありMemberShip...、Principal、Identity。ASP.NETは、認証を処理するためのこれをより簡単、よりシンプルで、多くても2つのアプローチにする必要があります。

— ブロードバンド

1

@Simon_Weaverこれは、よりシンプルでより柔軟なIDシステムIMHOに対する需要があることを明確に示しています。

— niico

838

これが私のやり方です。

IIdentityの代わりにIPrincipalを使用することにしました。IIdentityとIPrincipalの両方を実装する必要がないということです。

インターフェースを作成する

interface ICustomPrincipal : IPrincipal
{
    int Id { get; set; }
    string FirstName { get; set; }
    string LastName { get; set; }
}

CustomPrincipal

public class CustomPrincipal : ICustomPrincipal
{
    public IIdentity Identity { get; private set; }
    public bool IsInRole(string role) { return false; }

    public CustomPrincipal(string email)
    {
        this.Identity = new GenericIdentity(email);
    }

    public int Id { get; set; }
    public string FirstName { get; set; }
    public string LastName { get; set; }
}

CustomPrincipalSerializeModel-カスタム情報をFormsAuthenticationTicketオブジェクトのuserdataフィールドにシリアル化します。

public class CustomPrincipalSerializeModel
{
    public int Id { get; set; }
    public string FirstName { get; set; }
    public string LastName { get; set; }
}

LogInメソッド-カスタム情報でCookieを設定する

if (Membership.ValidateUser(viewModel.Email, viewModel.Password))
{
    var user = userRepository.Users.Where(u => u.Email == viewModel.Email).First();

    CustomPrincipalSerializeModel serializeModel = new CustomPrincipalSerializeModel();
    serializeModel.Id = user.Id;
    serializeModel.FirstName = user.FirstName;
    serializeModel.LastName = user.LastName;

    JavaScriptSerializer serializer = new JavaScriptSerializer();

    string userData = serializer.Serialize(serializeModel);

    FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
             1,
             viewModel.Email,
             DateTime.Now,
             DateTime.Now.AddMinutes(15),
             false,
             userData);

    string encTicket = FormsAuthentication.Encrypt(authTicket);
    HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
    Response.Cookies.Add(faCookie);

    return RedirectToAction("Index", "Home");
}

Global.asax.cs-Cookieの読み取りとHttpContext.Userオブジェクトの置き換え。これはPostAuthenticateRequestをオーバーライドすることで行われます

protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

    if (authCookie != null)
    {
        FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

        JavaScriptSerializer serializer = new JavaScriptSerializer();

        CustomPrincipalSerializeModel serializeModel = serializer.Deserialize<CustomPrincipalSerializeModel>(authTicket.UserData);

        CustomPrincipal newUser = new CustomPrincipal(authTicket.Name);
        newUser.Id = serializeModel.Id;
        newUser.FirstName = serializeModel.FirstName;
        newUser.LastName = serializeModel.LastName;

        HttpContext.Current.User = newUser;
    }
}

Razorビューでのアクセス

@((User as CustomPrincipal).Id)
@((User as CustomPrincipal).FirstName)
@((User as CustomPrincipal).LastName)

そしてコードで：

    (User as CustomPrincipal).Id
    (User as CustomPrincipal).FirstName
    (User as CustomPrincipal).LastName

コードは自明だと思います。そうでない場合は、お知らせください。

さらに、アクセスをさらに簡単にするために、ベースコントローラを作成し、返されたUserオブジェクト（HttpContext.User）をオーバーライドできます。

public class BaseController : Controller
{
    protected virtual new CustomPrincipal User
    {
        get { return HttpContext.User as CustomPrincipal; }
    }
}

そして、各コントローラーについて：

public class AccountController : BaseController
{
    // ...
}

これにより、次のようなコードでカスタムフィールドにアクセスできます。

User.Id
User.FirstName
User.LastName

ただし、これはビュー内では機能しません。そのためには、カスタムWebViewPage実装を作成する必要があります。

public abstract class BaseViewPage : WebViewPage
{
    public virtual new CustomPrincipal User
    {
        get { return base.User as CustomPrincipal; }
    }
}

public abstract class BaseViewPage<TModel> : WebViewPage<TModel>
{
    public virtual new CustomPrincipal User
    {
        get { return base.User as CustomPrincipal; }
    }
}

Views / web.configでそれをデフォルトのページタイプにします。

<pages pageBaseType="Your.Namespace.BaseViewPage">
  <namespaces>
    <add namespace="System.Web.Mvc" />
    <add namespace="System.Web.Mvc.Ajax" />
    <add namespace="System.Web.Mvc.Html" />
    <add namespace="System.Web.Routing" />
  </namespaces>
</pages>

ビューでは、次のようにアクセスできます。

@User.FirstName
@User.LastName

— ルークP
ソース

9

素晴らしい実装。カスタムプリンシパルをRolePrincipalに置き換えるRoleManagerModuleに注意してください。それは私に多くの痛みを引き起こした- stackoverflow.com/questions/10742259/...

— デヴィッドKeaveny

9

わかりました。解決策を見つけました。「」（空の文字列）を渡すelseスイッチを追加するだけで、メールとIDが匿名になります。

— Pierre-Alain Vigeant 2012年

3

DateTime.Now.AddMinutes（N）... N分後にユーザーをログアウトしないようにするには、ログインしたユーザーを永続化できますか（ユーザーが「Remember Me」をチェックした場合など）？

— 1110

4

あなたがWebApiControllerを使用している場合は、設定する必要がありますThread.CurrentPrincipalでApplication_PostAuthenticateRequest、それはに依存しないよう仕事にそれのためにHttpContext.Current.User

— ジョナサンLevison

3

@AbhinavGujjar FormsAuthentication.SignOut();は私にとってはうまくいきます。

— LukeP 2014年

109

ASP.NET MVCについて直接話すことはできませんが、ASP.NET WebフォームについてはFormsAuthenticationTicket、ユーザーが認証されたらを作成し、Cookieに暗号化するのがコツです。この方法では、データベース（またはADまたは認証の実行に使用しているもの）を1回呼び出すだけでよく、後続の各要求は、Cookieに格納されているチケットに基づいて認証されます。

これに関する良い記事：~~http~~ : ~~//www.ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html~~（リンク切れ）

編集：

上記のリンクが壊れているので、上記の回答でLukePのソリューションをお勧めします。https：//stackoverflow.com/a/10524305-承認された回答をその回答に変更することもお勧めします。

編集2： 壊れたリンクの代替：https : //web.archive.org/web/20120422011422/http : //ondotnet.com/pub/a/dotnet/2004/02/02/effectiveformsauth.html

— ジョン・ラッシュ
ソース

PHPから来て、私は常にセッションで制限されたアクセスを許可するために必要なUserIDと他の部分のような情報を入れてきました。クライアント側に保存すると緊張しますが、それが問題にならない理由についてコメントできますか？

— John Zumbrum、2012

@JohnZ-チケット自体は、ネットワーク経由で送信される前にサーバーで暗号化されるため、クライアントがチケット内に格納されているデータにアクセスすることはできません。セッションIDはCookieにも格納されるため、実際にはそれほど違いはありません。

— John Rasch

3

ここにいる場合は、LukePのソリューションを確認する必要があります

— mynkow

2

私は常に、このアプローチで最大Cookieサイズ（stackoverflow.com/questions/8706924/…）を超える可能性について懸念してきました。私は、サーバーにデータを保持するための代替Cacheとして使用する傾向がありSessionます。これが欠陥のあるアプローチかどうか誰かに教えてもらえますか？

— Red Taz 2013年

2

素敵なアプローチ。これに関する潜在的な問題の1つは、ユーザーオブジェクトにいくつかのプロパティがある場合（特にネストされたオブジェクトの場合）、暗号化された値が4KBを超えるとCookieの作成が警告なしに失敗することです（予想よりはるかに簡単です）。重要なデータのみを保存する場合は問題ありませんが、残りの部分ではDBをヒットする必要があります。別の考慮事項は、ユーザーオブジェクトに署名またはロジックの変更がある場合のCookieデータの「アップグレード」です。

— Geoffrey Hudik 2013年

63

これは仕事を成し遂げるための例です。bool isValidは、いくつかのデータストア（ユーザーデータベースとしましょう）を見ることで設定されます。UserIDは、私が管理している単なるIDです。メールアドレスなどの追加情報をユーザーデータに追加できます。

protected void btnLogin_Click(object sender, EventArgs e)
{         
    //Hard Coded for the moment
    bool isValid=true;
    if (isValid) 
    {
         string userData = String.Empty;
         userData = userData + "UserID=" + userID;
         FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, username, DateTime.Now, DateTime.Now.AddMinutes(30), true, userData);
         string encTicket = FormsAuthentication.Encrypt(ticket);
         HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
         Response.Cookies.Add(faCookie);
         //And send the user where they were heading
         string redirectUrl = FormsAuthentication.GetRedirectUrl(username, false);
         Response.Redirect(redirectUrl);
     }
}

golbal asaxに次のコードを追加して、情報を取得します

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[
             FormsAuthentication.FormsCookieName];
    if(authCookie != null)
    {
        //Extract the forms authentication cookie
        FormsAuthenticationTicket authTicket = 
               FormsAuthentication.Decrypt(authCookie.Value);
        // Create an Identity object
        //CustomIdentity implements System.Web.Security.IIdentity
        CustomIdentity id = GetUserIdentity(authTicket.Name);
        //CustomPrincipal implements System.Web.Security.IPrincipal
        CustomPrincipal newUser = new CustomPrincipal();
        Context.User = newUser;
    }
}

後でこの情報を使用するときに、次のようにカスタムプリンシパルにアクセスできます。

(CustomPrincipal)this.User
or 
(CustomPrincipal)this.Context.User

これにより、カスタムユーザー情報にアクセスできます。

— スリワンタ・アタナヤケ
ソース

2

参考までに-それはRequest.Cookies []（複数形）

— Dan Esparza、

10

Thread.CurrentPrincipalとContext.UserをCustomPrincipalに設定することを忘れないでください。

— Russ Cam、

6

GetUserIdentity（）はどこから来たのですか？

— ライアン

コメントで述べたように、これはSystem.Web.Security.IIdentityの実装を提供します。そのインターフェースについてのグーグル

— スリワンタ・アタナヤケ2012年

16

MVCは、コントローラークラスからハングするOnAuthorizeメソッドを提供します。または、カスタムアクションフィルターを使用して承認を実行することもできます。MVCを使用すると、簡単に実行できます。これに関するブログ投稿をここに投稿しました。http://www.bradygaster.com/post/custom-authentication-with-mvc-3.0

— ブレイディガスター
ソース

ただし、セッションが失われ、ユーザーが認証される可能性があります。番号？

— Dragouf 2011

@brady gaster、私はあなたのブログの投稿を読みました（ありがとう！）答え？プリンシパルユーザーの設定では、どちらが優先されますか？

— RayLoveless 2016

10

ビューで使用するためにいくつかのメソッドを@Userにフックする必要がある場合の解決策を次に示します。深刻なメンバーシップのカスタマイズに対する解決策はありませんが、ビューだけに元の質問が必要な場合は、これで十分でしょう。以下は、authorizefilterから返された変数をチェックするために使用され、いくつかのリンクが表示されるかどうかを確認するために使用されました（どの種類の承認ロジックやアクセス許可の場合でも）。

using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Web;
    using System.Security.Principal;

    namespace SomeSite.Web.Helpers
    {
        public static class UserHelpers
        {
            public static bool IsEditor(this IPrincipal user)
            {
                return null; //Do some stuff
            }
        }
    }

次に、web.config領域に参照を追加し、ビューで以下のように呼び出します。

@User.IsEditor()

— ベース
ソース

1

ソリューションでは、毎回データベース呼び出しを行う必要があります。ユーザーオブジェクトにはカスタムプロパティがないためです。名前とIsAuthanticatedしかありません

— oneNiceFriend

それは、実装と望ましい動作に完全に依存します。私のサンプルには、データベースまたはロールロジックの0行が含まれています。IsInRoleを使用すると、Cookieにキャッシュされる可能性があります。または、独自のキャッシュロジックを実装します。

— ベース

3

LukePの回答に基づいて、いくつかのメソッドをセットアップしてtimeout、とrequireSSL連携しWeb.configます。

参照リンク

LukePの変更されたコード

1、にtimeout基づいて設定しWeb.Configます。FormsAuthentication.Timeoutは、 web.configファイルで定義されているタイムアウト値を取得します。以下をラップして関数を返しticketます。

int version = 1;
DateTime now = DateTime.Now;

// respect to the `timeout` in Web.config.
TimeSpan timeout = FormsAuthentication.Timeout;
DateTime expire = now.Add(timeout);
bool isPersist = false;

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
     version,          
     name,
     now,
     expire,
     isPersist,
     userData);

2、構成に基づいて、Cookieが安全かどうかをRequireSSL構成します。

HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
// respect to `RequreSSL` in `Web.Config`
bool bSSL = FormsAuthentication.RequireSSL;
faCookie.Secure = bSSL;

— AechoLiu
ソース

3

さて、私はこの非常に古い質問を上にドラッグすることで、ここで深刻な暗号化担当者になっていますが、これにはもっと簡単な方法があり、上記の@Baserzで触れられています。そして、それはC＃拡張メソッドとキャッシングの組み合わせを使用することです（セッションを使用しないでください）。

実際、Microsoftはすでにそのような拡張機能をMicrosoft.AspNet.Identity.IdentityExtensions名前空間に多数提供しています。たとえば、GetUserId()はユーザーIDを返す拡張メソッドです。もGetUserName()ありFindFirstValue()IPrincipalに基づいてクレームを返すあります。

したがって、名前空間を含めるだけで、次に呼び出す必要があります User.Identity.GetUserName()て、ASP.NET Identityで構成されたユーザー名を取得できます。

古いASP.NET Identityはオープンソースではないため、これがキャッシュされているかどうかはわかりません。また、リバースエンジニアリングする必要もありません。ただし、そうでない場合は、独自の拡張メソッドを記述できます。これにより、この結果が特定の時間キャッシュされます。

— エリック・ファンケンブッシュ
ソース

なぜ「セッションを使用しない」のですか？

— Alex

@jitbit-セッションが信頼できず、安全でないため。同じ理由で、セキュリティの目的でセッションを使用してはなりません。

— エリックファンケンブッシュ2017年

「空」の場合は、セッションを再入力することで「信頼できない」に対処できます。「安全でない」-セッションの乗っ取りから保護する方法があります（HTTPSのみ+その他の方法を使用）。しかし、私は実際にあなたに同意します。それならどこにキャッシュしますか？以下のような情報IsUserAdministratorかUserEmailなど？考えてるHttpRuntime.Cache？

— Alex

@jitbit-これは1つのオプションですが、ある場合は別のキャッシュソリューションです。一定期間後にキャッシュエントリを必ず期限切れにする。Cookieを手動で変更してセッションIDを推測できるため、ローカルシステムにも安全ではありません。真ん中の男だけが問題ではありません。

— エリックファンケンブッシュ2017年

2

Webフォームユーザー（MVCではない）のLukePコードへの追加として、ページの背後にあるコードでアクセスを簡略化する場合は、以下のコードをベースページに追加し、すべてのページでベースページを派生させます。

Public Overridable Shadows ReadOnly Property User() As CustomPrincipal
    Get
        Return DirectCast(MyBase.User, CustomPrincipal)
    End Get
End Property

したがって、背後のコードでは、次のものに簡単にアクセスできます。

User.FirstName or User.LastName

Webフォームのシナリオで見当たらないのは、ページに関連付けられていないコード（httpmodulesなど）で同じ動作を取得する方法です。、各クラスに常にキャストを追加する必要がありますか、これを取得するよりスマートな方法はありますか？

あなたの答えのおかげで、私は私のカスタムユーザー（今持っているためのベースとして、あなたの例を使用するのでLukePに感謝User.Roles、User.Tasks、User.HasPath(int)、User.Settings.Timeoutおよび他の多くの素敵なもの）

— Manight
ソース

0

LukePによって提案されたソリューションを試したところ、Authorize属性をサポートしていないことがわかりました。それで、少し修正しました。

public class UserExBusinessInfo
{
    public int BusinessID { get; set; }
    public string Name { get; set; }
}

public class UserExInfo
{
    public IEnumerable<UserExBusinessInfo> BusinessInfo { get; set; }
    public int? CurrentBusinessID { get; set; }
}

public class PrincipalEx : ClaimsPrincipal
{
    private readonly UserExInfo userExInfo;
    public UserExInfo UserExInfo => userExInfo;

    public PrincipalEx(IPrincipal baseModel, UserExInfo userExInfo)
        : base(baseModel)
    {
        this.userExInfo = userExInfo;
    }
}

public class PrincipalExSerializeModel
{
    public UserExInfo UserExInfo { get; set; }
}

public static class IPrincipalHelpers
{
    public static UserExInfo ExInfo(this IPrincipal @this) => (@this as PrincipalEx)?.UserExInfo;
}


    [HttpPost]
    [AllowAnonymous]
    [ValidateAntiForgeryToken]
    public async Task<ActionResult> Login(LoginModel details, string returnUrl)
    {
        if (ModelState.IsValid)
        {
            AppUser user = await UserManager.FindAsync(details.Name, details.Password);

            if (user == null)
            {
                ModelState.AddModelError("", "Invalid name or password.");
            }
            else
            {
                ClaimsIdentity ident = await UserManager.CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie);
                AuthManager.SignOut();
                AuthManager.SignIn(new AuthenticationProperties { IsPersistent = false }, ident);

                user.LastLoginDate = DateTime.UtcNow;
                await UserManager.UpdateAsync(user);

                PrincipalExSerializeModel serializeModel = new PrincipalExSerializeModel();
                serializeModel.UserExInfo = new UserExInfo()
                {
                    BusinessInfo = await
                        db.Businesses
                        .Where(b => user.Id.Equals(b.AspNetUserID))
                        .Select(b => new UserExBusinessInfo { BusinessID = b.BusinessID, Name = b.Name })
                        .ToListAsync()
                };

                JavaScriptSerializer serializer = new JavaScriptSerializer();

                string userData = serializer.Serialize(serializeModel);

                FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
                         1,
                         details.Name,
                         DateTime.Now,
                         DateTime.Now.AddMinutes(15),
                         false,
                         userData);

                string encTicket = FormsAuthentication.Encrypt(authTicket);
                HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
                Response.Cookies.Add(faCookie);

                return RedirectToLocal(returnUrl);
            }
        }
        return View(details);
    }

そして最後にGlobal.asax.cs

    protected void Application_PostAuthenticateRequest(Object sender, EventArgs e)
    {
        HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];

        if (authCookie != null)
        {
            FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);
            JavaScriptSerializer serializer = new JavaScriptSerializer();
            PrincipalExSerializeModel serializeModel = serializer.Deserialize<PrincipalExSerializeModel>(authTicket.UserData);
            PrincipalEx newUser = new PrincipalEx(HttpContext.Current.User, serializeModel.UserExInfo);
            HttpContext.Current.User = newUser;
        }
    }

呼び出すだけでビューとコントローラーのデータにアクセスできるようになりました

User.ExInfo()

ログアウトするには、電話するだけです

AuthManager.SignOut();

AuthManagerは

HttpContext.GetOwinContext().Authentication

— ヴァシリー・イワノフ
ソース