ASP.NET MVC 2 - Membership-Provider - ValidateUser() - return-login-Fehlermeldung

Wie kann ich einen string zurückzugeben, der die Nachricht von der ValidateUser-Methode in meine custom membership provider? Ich brauche diese, weil ich möchte mehrere Prüfungen (Benutzer zugelassen ist, wird der Benutzer blockiert, etc.) und geben dem Benutzer eine gute Beschreibung, wenn das login fehlschlägt.

Eine Möglichkeit wäre, eine exception zu werfen, aber jemand sagte, dass dies nicht ein richtiger Weg für die Behandlung solcher Situationen.

Jetzt kann ich nur sagen: "Login fehlgeschlagen" oder "Login war erfolgreich", weil der Rückgabetyp bool.

Ist es möglich, um meine eigene ValidateUser-Methode oder muss das ASP.NET die Mitgliedschaft Mechanismus verwendet, das standardmäßig in interne Vorgänge?

Es ist nicht eine gute Idee zu melden, eine Sperre auf eine web-basierte app, die jeden, der versucht, eine brute-force-Angriff wird wissen, zu stoppen und zu warten, anstatt die Durchführung und potentiell präsentiert das korrekte Passwort auf einem gesperrten Konto und somit keine Zugriff. Nur ein Gedanke für Sie.
Danke für den Hinweis Lazarus.
Dies ist ein Manko der MembershipProvider. ValidateUser() nur einen bool zurückgibt, so dass Sie mit SCHLECHTEN Optionen. 1) requery die DB weitere Informationen (overhead), 2) und Methoden hinzufügen Besetzung Ihres providers (das brechen der Unabhängigkeit), oder 3) eine out-of-band-cookie Betrieb. MS sollte die update-Anbieter. Es wäre toll, wenn ValidateUser zurückgegeben, auf ein minimum, und enum AuthenticationStatuts viel wie CreateUser() gibt einen MembershipCreateStatus-enum. Obwohl, ich würde gerne sehen, etwas ein wenig mehr als auch die MembershipCreateStatus enum ist begrenzt (forums.asp.net/t/1521981.aspx).

InformationsquelleAutor Cosmo | 2010-03-03

2

Das sind zwei verschiedene Vorgänge.

Um zu sehen, ob ein Benutzer genehmigt, gesperrt, etc., look up the user (mit GetUser()) und Blick auf die IsApproved, IsLockedOut usw. Eigenschaften der zurückgegebenen Benutzer. ValidateUser() ist nur für den login, aber man kann beides tun.
- Dank Craig. Also du meinst ich sollte zuerst überprüfen Sie den Benutzer (Benutzername, Passwort), dann, wenn der Datensatz vorhanden ist, überprüfen Sie, ob der Benutzer gesperrt ist, genehmigt usw. und dann legen Sie die Authentifizierungs-cookie? Bin ich im Recht? Zweite Frage. Ich bin mit einem benutzerdefinierten RegUser-Objekt (nicht MembershipUser -). Sollte ich verschiedene Methoden, die in meine Mitgliedschaft Anbieter, wie GetRegUser um die überprüfen Sie meine benutzerdefinierte Attribute?
- Ich glaube, ich würde Subtyp MembershipUser anstatt es zu ersetzen, aber bevor Sie das tun, beachten (1) es gibt bereits eine Immobilie soll für den app-spezifischen Daten msdn.microsoft.com/en-us/library/..., und (2) app-spezifische Benutzer-info ist oft besser geeignet für IIdentity als auf eine Mitgliedschaft Benutzer. Die Mitgliedschaft der Benutzer wirklich nur sagen, ob Sie bekommen können in. IIdentity, sagt wer Sie sind.
- Oh, und das ist wohl offensichtlich, aber Sie müssen nur zum nachschlagen die Benutzer, wenn ein login fehlschlägt. Wenn es gelingt, Sie muss genehmigt werden und kann nicht gesperrt werden.
- "Wenn es gelingt, Sie muss genehmigt werden und kann nicht gesperrt werden" - danach bin ich richtig, dass das Authentifizierungs-cookie darf nur gesetzt werden, nach Prüfung ValidateUser und die anderen Eigenschaften (gesperrt, genehmigt,...)? Ich meine: (Username, Passwort) -> ValidateUser() -> GetUser().IsApproved -> GetUser().IsLockedOut -> SetAuthCookie(). Ist diese Reihenfolge korrekt?
- Zumindest mit dem Anbieter für die Formularauthentifizierung, ValidateUser-gibt false zurück, wenn der Benutzer abgemeldet, etc. Ihr provider kann oder kann nicht dasselbe Verhalten, aber ich würde behaupten, dass es sein sollte. Anbietern werden sollen-Swap-fähig.
- um zu wiederholen, was craig gesagt - Wenn ein user gesperrt ist oder nicht genehmigt wird, bei der überprüfung den Wert false zurück. Nur wenn Sie implementiert einen benutzerdefinierten Anbieter oder geerbt ein Anbieter und möchten zu reagieren verschiedenen Gründen, sagen wir, um eine Nachricht an die Seite, würden Sie brauchen, um zu überprüfen, die IsXXX-Eigenschaften.
- Aber Woher soll ich auch wissen, Wann GetUser(). Mit der ganzen FormsAuthentication angeschlossen, nur es kickt mich auf die login-Seite, wenn die Authentifizierung fehlschlägt. Und wenn ich den Anruf GetUser() aus innerhalb ValidateUser(), ich habe noch nicht einen Weg, um eine detaillierte Meldung an den Benutzer, weil ValidateUser() nur einen bool zurückgibt.
InformationsquelleAutor Craig Stuntz

Du kann implementieren alle Methoden, die Sie möchten, um auf Ihre benutzerdefinierten Anbieter, und in Ihrem Fall ist es könnte Sinn, so zu tun und nur cast-Mitgliedschaft zu Ihrem Typ, bevor Sie verwenden.

Aber brechen die Schnittstelle verwenden, um einige einfache out-of-band-info zurück kommen können, beißen Sie in die Zukunft. Es gibt andere Wege, dies zu tun und erhalten die Anbieter-api und halten Sie Ihre Zukunft Optionen offen.

In der Vergangenheit habe ich verwendet ein cookie, um pass out-of-band-Informationen wie diese vom Anbieter an den Verbraucher.

Den HttpContext.Aktuell ist das gleiche für die Anbieter wie für die Seite, so dass ein cookie gesetzt, in dem Anbieter gelesen werden können, in der Verbraucher.

Nur stellen Sie sicher, dass Sie entfernen das cookie nach dem Aufruf von Ihrem provider. Erstellen eines Transienten cookie hilft bei der Minimierung der Fehler, aber nur entfernen Sie es aus der Auflistung sowieso.

Hier ist ein funktionierendes Beispiel.

CookieChannelMembershipProvider

using System;
using System.Web;
using System.Web.Security;

namespace CookieChannel
{
    public class CookieChannelMembershipProvider : MembershipProvider
    {
        public override bool ValidateUser(string username, string password)
        {
            if(username=="asshat")
            {
                HttpContext.Current.Request.Cookies.Add(new HttpCookie("__cookiechannel", "user is an asshat. do not let him in."));
                return false;
            }
            return true;
        }

        #region Not implemented

        public override bool EnablePasswordRetrieval
        {
            get { throw new NotImplementedException(); }
        }

        public override bool EnablePasswordReset
        {
            get { throw new NotImplementedException(); }
        }

        public override bool RequiresQuestionAndAnswer
        {
            get { throw new NotImplementedException(); }
        }

        public override string ApplicationName
        {
            get { throw new NotImplementedException(); }
            set { throw new NotImplementedException(); }
        }

        public override int MaxInvalidPasswordAttempts
        {
            get { throw new NotImplementedException(); }
        }

        public override int PasswordAttemptWindow
        {
            get { throw new NotImplementedException(); }
        }

        public override bool RequiresUniqueEmail
        {
            get { throw new NotImplementedException(); }
        }

        public override MembershipPasswordFormat PasswordFormat
        {
            get { throw new NotImplementedException(); }
        }

        public override int MinRequiredPasswordLength
        {
            get { throw new NotImplementedException(); }
        }

        public override int MinRequiredNonAlphanumericCharacters
        {
            get { throw new NotImplementedException(); }
        }

        public override string PasswordStrengthRegularExpression
        {
            get { throw new NotImplementedException(); }
        }


        public override MembershipUser CreateUser(string username, string password, string email,
                                                  string passwordQuestion, string passwordAnswer, bool isApproved,
                                                  object providerUserKey, out MembershipCreateStatus status)
        {
            throw new NotImplementedException();
        }

        public override bool ChangePasswordQuestionAndAnswer(string username, string password,
                                                             string newPasswordQuestion, string newPasswordAnswer)
        {
            throw new NotImplementedException();
        }

        public override string GetPassword(string username, string answer)
        {
            throw new NotImplementedException();
        }

        public override bool ChangePassword(string username, string oldPassword, string newPassword)
        {
            throw new NotImplementedException();
        }

        public override string ResetPassword(string username, string answer)
        {
            throw new NotImplementedException();
        }

        public override void UpdateUser(MembershipUser user)
        {
            throw new NotImplementedException();
        }


        public override bool UnlockUser(string userName)
        {
            throw new NotImplementedException();
        }

        public override MembershipUser GetUser(object providerUserKey, bool userIsOnline)
        {
            throw new NotImplementedException();
        }

        public override MembershipUser GetUser(string username, bool userIsOnline)
        {
            throw new NotImplementedException();
        }

        public override string GetUserNameByEmail(string email)
        {
            throw new NotImplementedException();
        }

        public override bool DeleteUser(string username, bool deleteAllRelatedData)
        {
            throw new NotImplementedException();
        }

        public override MembershipUserCollection GetAllUsers(int pageIndex, int pageSize, out int totalRecords)
        {
            throw new NotImplementedException();
        }

        public override int GetNumberOfUsersOnline()
        {
            throw new NotImplementedException();
        }

        public override MembershipUserCollection FindUsersByName(string usernameToMatch, int pageIndex, int pageSize,
                                                                 out int totalRecords)
        {
            throw new NotImplementedException();
        }

        public override MembershipUserCollection FindUsersByEmail(string emailToMatch, int pageIndex, int pageSize,
                                                                  out int totalRecords)
        {
            throw new NotImplementedException();
        } 
        #endregion
    }
}

Web.config

<?xml version="1.0"?>
<configuration>
  <system.web>
    <compilation debug="true"/>
    <authentication mode="Windows" />
    <membership defaultProvider="cookieChannelProvider" userIsOnlineTimeWindow="15">
      <providers>
        <add
          name="cookieChannelProvider"
          type="CookieChannel.CookieChannelMembershipProvider, CookieChannel"
          connectionStringName="none"
          enablePasswordRetrieval="true"
          enablePasswordReset="true"
          requiresQuestionAndAnswer="true"
          />
      </providers>
    </membership>
  </system.web>
</configuration>

Standard.aspx

<%@ Page Language="C#" %>
<script runat="server">
    protected void Button1_Click(object sender, EventArgs e)
    {
        ValidateUser("user", "user");
    }
    protected void Button2_Click(object sender, EventArgs e)
    {
        ValidateUser("asshat", "asshat");
    }

    private void ValidateUser(string username, string password)
    {
        bool validated = Membership.ValidateUser(username, password);
        string message = validated.ToString();

        if (Request.Cookies["__cookiechannel"] != null)
        {
            message += ":" + Request.Cookies["__cookiechannel"].Value;
            Request.Cookies.Remove("__cookiechannel");
        }
        Label1.Text = message;
    }
</script>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
    <title></title>
</head>
<body>
    <form id="form1" runat="server">
    <div>

        <asp:Button ID="Button1" runat="server" onclick="Button1_Click" 
            Text="Validate Valued User" />
        <asp:Button ID="Button2" runat="server" onclick="Button2_Click" 
            Text="Validate Asshat User" />

    </div>
    <asp:Label ID="Label1" runat="server" Text="Label"></asp:Label>
    </form>
</body>
</html>

InformationsquelleAutor Sky Sanders

0

Müsste man erstellen Sie Ihre eigenen Mechanismus; dies passiert aber nicht standardmäßig aktiviert und kann nicht getan werden, mit der built-in-Mitgliedschaftsanbieter. Sie wickeln konnte, dass Anbieter, und fügen Sie diese Methode und machen Sie es selbst... das ist eine option. Aber dann ist dies nicht im Einklang mit dem login-Steuerelement, wenn Sie es verwenden.
- Danke Brian, ich bin nicht mit dem login-Steuerelement. Das wäre wahrscheinlich eine option.
InformationsquelleAutor Brian Mains

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.