如何在 ASP.NET 中允许多种身份验证方法？

Question

我正在构建一个新的 ASP.NET MVC 应用程序（用 C# 编写），其中一个要求是创建一个新的成员数据库。为此，我们需要角色来管理不同类型的成员，并需要配置文件来管理附加到每个成员的附加元数据。到目前为止一切顺利，只需使用作为 .NET Framework 的一部分提供的标准 MembershipProvider、RoleProvider 和 ProfileProvider。

然而，问题是我想允许不同的身份验证方法。我希望帐户和登录凭据具有一对多关系（一个帐户可以附加多个登录凭据）。例如，用户的帐户可能同时附加了 OpenID 和 ActiveDirectory 帐户。

然而，在尝试了几种方法之后，我们选择了 MembershipProvider 路线（在下面的答案中解释了它是如何实现的）。

我的问题是，人们以前是如何做到这一点的？人们会建议我如何处理它？这似乎是在相当多的网站上实现的，但在这里搜索并没有返回任何可靠的内容。

编辑：经过一夜和今天早上的好几个小时的观察后 - 我仍然不相信屠杀单个 MembershipProvider 是最简单的选择。拥有多个 MembershipProvider 是否会产生相同的效果？

赏金编辑：如果没有回应，我假设没有比我作为答案发布的解决方案更好的解决方案。事实真的如此吗？我提供赏金来尝试看看是否有人对此有任何进一步的想法以及是否有更好的选择。

赏金接受编辑：我认为 WIF 是下面接受的答案，适用于 .NET 4 版本，也可能是其他版本，因为它可能适用于 3.5。除此之外，也许被屠杀的会员提供者或经过改造的会员提供者可能仍然具有相关性。

Answer 1

在我看来，执行此操作的“真正方法”是将联合与 WIF< /a>（Windows Identity Foundation，以前的Geneva 框架）。

这个想法是将身份验证与授权分开。身份验证由所谓的 STS（安全令牌服务）执行，它管理您想要支持的所有可能的登录机制。当用户通过身份验证后，STS 会发出一个包含一组声明和用户身份的令牌。
该令牌被发送到网站（在该行话中称为依赖方），网站根据令牌中的声明确定用户可以访问网站的哪些部分。 WIF 提供从令牌中提取信息的成员资格和角色提供者。

您可以在此处了解如何创建索赔感知网站。

这种方法的优点之一是身份验证和授权之间的关注点分离。您的网站中不需要任何复杂的会员资格和角色提供者。此外，STS 可以重复用于对您可能拥有的其他应用程序的用户进行身份验证，而无需用户多次注册（有效实现单点登录）。

缺点是您必须花一些时间研究这些概念并编写 STS 代码。请注意，使用 WIF 编写 STS 并不困难，但这也不是一个 100% 微不足道的任务。

如果我成功引起了您的兴趣，我建议您首先阅读 本白皮书。

亲切的问候，

克劳斯

Answer 2

我们遵循的一个想法是创建一个自定义的成员资格/角色/配置文件提供程序。我们显着定制了登录/身份验证方法，并有一个额外的登录表。该表基本上只包含：

LoginID (Auto-Incremental ID, PK)
UserID (FK)
LoginSystemID (FK)
...blah blah

在上面的内容中，LoginSystemID 是到外部查找表的链接，该表帮助系统确定要使用的身份验证服务（例如 Standard、AD、OpenID、FacebookConnect 等）。

我们遇到的问题是，MembershipProvider 中的 Username 字段不能为空，而在我们的架构中，每个人都有一个 UserID（这是他们的帐户名），但他们没有唯一的用户名。我们必须通过生成 GUID 并使用它来解决这个问题。这当然对用户隐藏，并且可以显示用户表中的 DisplayName 属性。

这一切都是通过 FormsAuthenication 完成的（AD 检查是通过 LDAP 检查完成的）。然而，在 IIS 中添加了一个带有适当设置的附加层（Web 表单），该层提供了自动 Windows 身份验证的方法 - 在我们认为用户可能是内部用户（基于 IP 地址）的情况下，我们会重定向到那里。

Answer 3

使用标准框架的东西。请参阅http://blogs.teamb.com/craigstuntz/2009/09/ 09/38390/

您可以为一个帐户附加无限数量的身份验证方法，神奇之处在于 FormsAuthentication.SetAuthCookie(userName, createPersistentCookie); 语句