我正在为我的页面使用 jquery cookie 实现 C# 授权。我在 cookie 和我的管理页面中设置/加密用户名和密码,如果我识别 cookie,则用户被授权。如果没有,他会被重定向到登录页面。问题是,该 cookie 在页面加载后被读取,因此我可以手动点击管理页面,并且仅在几秒钟内它就会被重定向。如何防止为还没有 cookie 的访问者加载管理页面?基于 cookie 的授权的正确架构是什么?
注意:我没有使用 ASP.NET 角色或用户表。我为用户实现了自己的表格。
【问题讨论】:
标签: c# jquery cookies authorization
我怀疑你是在重新发明轮子。您不必使用 Membership Provider 和 ASP.Net 成员模式来利用表单身份验证。当用户登录时,只需将 Auth Ticket (cookie) 放到他们上面就可以了。然后,您可以简单地在管理页面上进行管理检查。
下面的一些建议...
编辑:我最初发布了一种通过 UserData 在 Auth Ticket 中存储角色的方法,但我认为这对于这种情况来说有点过头了。
Web.config:
<authentication mode="Forms">
<forms loginUrl="~/Account/LogOn" timeout="30" slidingExpiration="true" />
</authentication>
. . .
<membership>
<providers>
<clear />
</providers>
</membership>
登录后: 当用户提交他们的用户名和密码时,验证他们并检查他们是否是管理员:
if (UserIsValid(username, pwd)) // some validation call
{
FormsAuthentication.SetAuthCookie(username, true);
}
Admin.aspx: 最后,快速破解来限制对管理页面的访问。当页面加载时,检查用户是/不是管理员:
if (!IsAdmin(User.Identity.Name)) // some admin call
Response.Redirect("Default.aspx");
【讨论】:
问题是,您使用客户端代码进行安全检查。如果有人完全禁用 JavaScript,他将永远不会被重定向。将检查移至您的服务器端代码。
【讨论】: