如何在 ASP.Net 应用程序中设置主体

Question

我正在为客户编写一个网络应用程序。 用户将拥有一个一次性密钥，用于最初向应用程序表明自己的身份。 一旦应用程序验证密钥有效，就会将他们带到一个页面，他们可以在其中创建一个普通帐户以用于所有后续登录。 创建帐户页面只能在输入密钥后才能访问，否则无法访问。 即，使用普通帐户登录的用户不应该访问它。 这是使用自定义成员资格提供程序的 asp.net 3.0。

我的计划是根据密钥创建一个临时帐户并使用该帐户对用户进行身份验证。 这允许他们访问创建用户页面（受位置标签保护），他们可以在其中创建正式帐户。 然后我使用他们的新帐户对他们进行身份验证并删除临时帐户。 流程是：用户转到输入密钥的页面。 如果密钥有效，我将创建临时帐户，调用 FormsAuthentication.SetAuthCookie，然后重定向到创建帐户页面。 这一切都有效，尽管看起来有点复杂。

问题是创建用户页面可供任何经过身份验证的用户使用； 我只希望它在输入密钥和创建正式帐户之间的时间内可用。 因此，我想为临时帐户创建一个特殊角色，并使创建用户页面只能由该角色访问，而不能由其他角色访问。 我创建了自己的具有特殊角色的主体对象，并尝试在验证临时帐户时设置它，但我无法让它工作。

我真的希望我不必编写自定义角色提供程序来执行此操作。

我怎样才能做到这一点？ 必须有一个更简单的方法！

Answer 1

为什么不在输入密钥时简单地创建真实帐户呢？ 为其分配一些随机名称，然后让他们更改名称和其他详细信息。 那么你就不需要创建用户页面，只需要输入密钥页面和帐户详细信息编辑页面。 如果您担心填写帐户详细信息，您可以进行设置（可能通过母版页上的代码），以便在输入详细信息之前，不完整的帐户始终会重定向到编辑详细信息页面。

或者，您可以让他们在输入密钥页面上输入除密钥代码之外的所需详细信息，并在创建帐户时简单地使用这些详细信息。

Answer 2

我的建议是在验证用户时避免使用临时帐户。 相反，生成您自己的逻辑来验证注册密钥。 然后，在页面的头部，您可以检查用户是否是经过身份验证的用户（已调用SetAuthCookie），如果是则跳转到不同的页面。

您甚至可以更改页面访问权限以禁止经过身份验证的用户访问此页面（我知道您可以禁用未经身份验证的用户的帐户，但我不确定您是否可以采取其他方向）。

但关键是要避免在用户实际上还不是会员时依赖会员提供商！

Answer 3

在针对临时令牌进行身份验证时分配“不完整”角色，然后将访问限制为仅该角色...创建帐户后，将它们发送到重新登录页面（终止身份验证令牌）。 这将简化您的安全模型。