我正在编写一个需要始终从数据库中删除/缺少个人身份信息的应用程序。假设某人可能在其用户名中使用其真实姓名,并且在其AspUserIdentity记录中可能存在一个电子邮件地址,我决定一种解决方案可能是对这些值进行哈希处理。简而言之:当某人使用用户名登录时,我对输入的用户名进行哈希处理,看看该哈希是否存在于数据库中;如果可以,那么我将其登录。这很容易做到,并且可以通过修改AccountController中的Login和Register方法来正常工作。但是现在我不知道输入的用户名了...
我可以将用户名存储在会话中,但这看起来很简陋。我想做的是更新成功登录后发送下来的cookie,以使用他们输入的用户名(而不是存储在数据库中的哈希值)。这样,User.Identity.GetUserName()返回纯文本用户名(而不是哈希用户名)。对于客户来说,该过程应该是透明的(对我来说,对于程序员也是一样)。
问题是:如何?最好的地方是什么?当涉及到最新的ASP.NET Identity时,我还是比较环保的。我在Startup.Auth中看到了很多与Cookie相关的内容,但是在登录后以及发送下来之前,我看不到任何可以修改Cookie的地方。
所有这些都在Owin内部吗?
提前致谢,
当用户登录并比较用户名的哈希值时,可以将其真实用户名添加为身份声明。它被序列化为cookie,并在每次请求时可供用户使用,但不能持久存储在数据库中:
public async Task SignIn(string userName, string password, bool rememberMe)
{
var hashedUsername = getMyHash(username)
var loggedInUser = await userManager.FindAsync(hashedUsername, password);
if (loggedInUser == null)
{
// failed to login
return FailedToLogin(); // whatever you do there
}
// Ok, from now on we have user who provided correct username and password.
// and because correct username/password was given, we reset count for incorrect logins. This is for user lockout
await userManager.ResetAccessFailedCountAsync(loggedInUser.Id);
if (!loggedInUser.EmailConfirmed)
{
return EmailIsNotConfirmed(); // email is not confirmed - display a message
}
if (await userManager.IsLockedOutAsync(loggedInUser.Id))
{
return UserLockedOut(); // user is locked out - display a message
}
var identity = await userManager.CreateIdentityAsync(loggedInUser);
identity.AddClaim(new Claim("OriginalUsername", originalUsername));
var authenticationManager = context.GetOwinContext().Authentication;
authenticationManager.SignIn(new AuthenticationProperties() { IsPersistent = rememberMe }, identity);
//TODO redirect to a home page
}
然后,当您需要显示实际的用户名而不是哈希时,请执行以下操作:
public static String GetOriginalUsername(this IPrincipal principal)
{
if (principal == null)
{
return String.Empty;
}
var claimsPrincipal = principal as ClaimsPrincipal;
if (claimsPrincipal == null)
{
return String.Empty;
}
var originalUsernameClaim = principal.Claims.SingleOrDefault(c => c.Type == "OriginalUsername");
if (originalUsernameClaim == null)
{
return String.Empty;
}
return originalUsernameClaim.Value;
}
并User.GetOriginalUsername()在* .cshtml文件或Controllers中调用此方法。或者,HttpContext.Current.User.GetOriginalUsername()如果您在其他地方需要它。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句