ASP.NET MVC и аутентификация в смешанном режиме

Ответ 1

Это называется режим смешанной проверки подлинности. В основном вы не можете достичь этого в рамках одного приложения, потому что в IIS после настройки подлинности Windows для виртуального каталога он больше не будет принимать пользователей из разных доменов. Поэтому в основном вам необходимо иметь два приложения: первое с Windows Authentication и второе (основное приложение) с использованием проверки подлинности с помощью форм. Первое приложение будет состоять из одного адреса, который будет просто перенаправляться в основное приложение путем выдачи аутентификационного билета для пользователя домена.

Ответ 2

Это можно сделать. В обратном порядке настройте приложение /root для использования анонимной проверки подлинности и проверки подлинности с помощью форм... Таким образом, вы можете настроить смешанную проверку подлинности в одном веб-приложении, но это сложно. Итак, во-первых, настройте ваше приложение для проверки подлинности с помощью loginUrl = "~/WinLogin/WinLogin2.aspx". В MVC маршрутизация переопределяет правила аутентификации, установленные IIS, поэтому необходимо использовать страницу aspx, поскольку IIS может установить аутентификацию для файла. Включите анонимную проверку подлинности и проверку подлинности с помощью форм в корневом веб-приложении. Включите проверку подлинности Windows и отключите анонимную проверку подлинности в корневом каталоге/каталоге WinLogin. Добавьте пользовательские страницы ошибок 401 и 401.2, чтобы перенаправить их обратно на URL-адрес учетной записи/входа.

Это позволит любому браузеру, поддерживающему сквозную передачу, использовать встроенную аутентификацию Windows для автоматической регистрации. В то время как некоторые устройства будут запрашиваться учетные данные (например, iPhone), а другие устройства, такие как blackberry, перенаправляются на страницу входа.

Это также создает cookie файл, явно добавляющий роли пользователей, и создает общий принцип, позволяющий использовать авторизацию на основе ролей.

в WinLogin2.aspx (в каталоге WinLogin под "корневым" веб-приложением в IIS и настроен для использования проверки подлинности Windows, анонимного доступа отключен и форм включен (как нельзя отключить... обратите внимание, что IIS будет жаловаться при включении проверки подлинности Windows, просто игнорируй):

var logonUser = Request.ServerVariables["LOGON_USER"];
if (!String.IsNullOrWhiteSpace(logonUser))
{
    if (logonUser.Split('\\').Length > 1)
    {
        var domain = logonUser.Split('\\')[0];
        var username = logonUser.Split('\\')[1];

        var timeout = 30;

        var encTicket = CreateTicketWithSecurityGroups(false, username, domain, timeout);

        var authCookie = new HttpCookie(".MVCAUTH", encTicket) { HttpOnly = true };
        Response.Cookies.Add(authCookie);
    }
    //else
    //{
    // this is a redirect due to returnUrl being WinLogin page, in which logonUser will no longer have domain attached
    // ignore as forms ticket should already exist
    //}

    string returnUrl = Request.QueryString["ReturnUrl"];

    if (returnUrl.IsEmpty())
    {
        Response.Redirect("~/");
    }
    else
    {
        Response.Redirect(returnUrl);
    }
}

public static string CreateTicketWithSecurityGroups(bool rememberMe, string username, string domain, int timeout)
{
    using (var context = new PrincipalContext(ContextType.Domain, domain))
    {
        using (var principal = UserPrincipal.FindByIdentity(context, IdentityType.SamAccountName, username))
        {
            var securityGroups = String.Join(";", principal.GetAuthorizationGroups());

            var ticket =
                new FormsAuthenticationTicket(1,
                                                username,
                                                DateTime.UtcNow,
                                                DateTime.UtcNow.AddMinutes(timeout),
                                                rememberMe,
                                                securityGroups,
                                                "/");

            string encTicket = FormsAuthentication.Encrypt(ticket);
            return encTicket;
        }
    }
}

В IIS 7.5 нажмите "Страницы ошибок", задайте для страницы 401 путь к файлу Redirect401.htm с этим кодом:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title></title>
    <script>
      window.location.assign('../Account/Signin');
    </script>
</head>
<body>
</body>
</html>

В AccountController...

public ActionResult SignIn()
{
    return View(new SignInModel());
}

//
// POST: /Account/SignIn
[HttpPost]
public ActionResult SignIn(SignInModel model, string returnUrl)
{
    if (ModelState.IsValid)
    {
        if (Membership.ValidateUser(model.UserName, model.Password))
        {
            string encTicket = CreateTicketWithSecurityGroups(model.RememberMe,  model.UserName, model.Domain, FormsAuthentication.Timeout.Minutes);

            Response.Cookies.Add(new HttpCookie(".MVCAUTH", encTicket));

            //var returnUrl = "";
            for (var i = 0; i < Request.Cookies.Count; i++)
            {
                HttpCookie cookie = Request.Cookies[i];
                if (cookie.Name == ".MVCRETURNURL")
                {
                    returnUrl = cookie.Value;
                    break;
                }
            }

            if (returnUrl.IsEmpty())
            {
                return Redirect("~/");
            }

            return Redirect(returnUrl);
        }

        ModelState.AddModelError("Log In Failure", "The username/password combination is invalid");
    }

    return View(model);
}

//
// GET: /Account/SignOut
public ActionResult SignOut()
{
    FormsAuthentication.SignOut();

    if (Request.Cookies[".MVCRETURNURL"] != null)
    {
        var returnUrlCookie = new HttpCookie(".MVCRETURNURL") { Expires = DateTime.Now.AddDays(-1d) };
        Response.Cookies.Add(returnUrlCookie);
    }

    // Redirect back to sign in page so user can 
    //   sign in with different credentials

    return RedirectToAction("SignIn", "Account");
}

В global.asax:

protected void Application_BeginRequest(object sender, EventArgs e)
{
    try
    {
        bool cookieFound = false;

        HttpCookie authCookie = null;

        for (int i = 0; i < Request.Cookies.Count; i++)
        {
            HttpCookie cookie = Request.Cookies[i];
            if (cookie.Name == ".MVCAUTH")
            {
                cookieFound = true;
                authCookie = cookie;
                break;
            }
        }

        if (cookieFound)
        {
            // Extract the roles from the cookie, and assign to our current principal, which is attached to the HttpContext.
            FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(authCookie.Value);
            HttpContext.Current.User = new GenericPrincipal(new FormsIdentity(ticket), ticket.UserData.Split(';'));
        }
    }
    catch (Exception ex)
    {
        throw;
    }
}


protected void Application_AuthenticateRequest()
{
    var returnUrl = Request.QueryString["ReturnUrl"];
    if (!Request.IsAuthenticated && !String.IsNullOrWhiteSpace(returnUrl))
    {
        var returnUrlCookie = new HttpCookie(".MVCRETURNURL", returnUrl) {HttpOnly = true};
        Response.Cookies.Add(returnUrlCookie);
    }
}

web.config

<system.web>
  <!--<authorization>
    <deny users="?"/>
  </authorization>-->
  <authentication mode="Forms">
    <forms name=".MVCAUTH" loginUrl="~/WinLogin/WinLogin2.aspx" timeout="30" enableCrossAppRedirects="true"/>
  </authentication>
  <membership defaultProvider="AspNetActiveDirectoryMembershipProvider">
    <providers>
      <add
           name="AspNetActiveDirectoryMembershipProvider"
           type="System.Web.Security.ActiveDirectoryMembershipProvider, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"
           connectionStringName="ADService" connectionProtection="Secure" enablePasswordReset="false" enableSearchMethods="true" requiresQuestionAndAnswer="true"
           applicationName="/" description="Default AD connection" requiresUniqueEmail="false" clientSearchTimeout="30" serverSearchTimeout="30"
           attributeMapPasswordQuestion="department" attributeMapPasswordAnswer="division" attributeMapEmail="mail" attributeMapUsername="sAMAccountName"
           maxInvalidPasswordAttempts="5" passwordAttemptWindow="10" passwordAnswerAttemptLockoutDuration="30" minRequiredPasswordLength="7"
           minRequiredNonalphanumericCharacters="1" />
    </providers>
  </membership>
  <machineKey decryptionKey="..." validationKey="..." />
</system.web>
<connectionStrings>
  <add name="ADService" connectionString="LDAP://SERVER:389"/>
</connectionStrings>

Кредит причитается http://msdn.microsoft.com/en-us/library/ms972958.aspx

Ответ 3

Это, вероятно, будет жить внизу этого вопроса и никогда не будет найдено, но я смог реализовать то, что описано в

http://mvolo.com/iis-70-twolevel-authentication-with-forms-authentication-and-windows-authentication/

Это было довольно легко и тривиально. Не требовалось несколько приложений или файлов cookie, просто расширяя FormsAuthModule и изменяя некоторые изменения в web.config.

Ответ 4

Я знаю, что это старый пост, но все живет вечно в Интернете!

В любом случае мне пришлось переместить старый веб-сайт из IIS6 в IIS8. Это веб-сайт WebForms, но я предполагаю, что это очень простое решение - то же самое.

Я получил ошибку: не удалось наложить объект типа "System.Security.Principal.WindowsIdentity" на тип "System.Web.Security.FormsIdentity".

Все, что я сделал, это создать новый пул приложений для веб-сайта. При создании этого параметра я настроил режим управляемого сервера на "Классический". (Подробнее читайте здесь http://www.hanselman.com/blog/MovingOldAppsFromIIS6ToIIS8AndWhyClassicModeExists.aspx) Не забудьте установить пул приложений веб-сайта для нового созданного вами пула.