ASP.NET 表单身份验证的工作原理：从请求中识别 cookie

Question

我正在阅读 ASP.NET 中的表单身份验证，有些时候无法理解：

James 输入用户名密码，它们保存在数据库中。来自用户名的 cookie 被创建、加密并附加到响应中。据我了解，当我们收到请求时，我们需要识别收到的 cookie 是来自 James，这样我们就可以显示他的自定义页面。

我想了解的是系统如何从 cookie 中检索用户名，然后从数据库加载他的信息？

Answer 1

Forms Auth 与存储无关。它不必使用数据库，实际上您可以在 web.config。

那么会发生什么情况是

1. 用户登录。
2. 用户根据成员资格提供程序（可以使用 SQL、Active DIRECTORY、web.config、Oracle、MySQL 等）进行身份验证。
3. 为用户创建表单身份验证令牌，并将其放置在通过 cookie 访问用户机器。
4. 每个后续请求都会读取表单身份验证令牌，并查询提供程序以获取用户详细信息。
5. 用户详细信息用于填充 HttpContext 中的用户身份和请求的当前线程，然后可供您的代码使用。

在您的代码中，您可以检查用户 Page 类 (WebForms) 中的属性或 控制器中的 User 属性类（MVC）。

虽然您可以通过当前线程或当前上下文获取它，但不建议这样做，特别是一旦您开始使用后台任务，其中身份可能不会传播到线程，或者上下文可能会更改。

您会注意到，当用户登录时，数据库中不会存储任何内容。这一切都在表单身份验证令牌中，并且在每个请求上从其存储中检索用户的工作都已为您完成。

Answer 2

Afaik Forms Authentication 不会在任何数据库中存储或加载任何内容。您可以使用数据库来存储用户名和密码，也可以将它们放在 web.config 中。如何存储用户凭据并验证它们取决于您，并且可以与表单身份验证分开进行。

一旦您验证了用户（针对数据库或其他一些逻辑存储），您就可以使用 FormsAuthentication 来写入身份验证 cookie。您无需担心 cookie 的解密问题。

您可以从 System.Threading.Thread.CurrentPrincipal.Identity.Name 获取用户名。要从数据库检索用户信息，您可以使用主体身份名称的值查询数据库。

回复评论

是的，您可以将表单身份验证与成员资格提供商、活动目录或您自己的自定义用户数据库结合使用。 FormsAuth 根本不关心密码，除非它存储在 web.config 中（如blowdart 更完整的答案中所述）。它只是写入 cookie，该 cookie 被解密并用于自动创建线程标识。

其他信息

尽管这被标记为答案，但blowdart的响应要完整得多。如果您在 ASPX 页面或 MVC 控制器中需要它，您确实不应该从线程获取身份，请使用他引用的属性。

Answer 3

您可以通过调用 User.Identity.Name 在 Web 表单中获取用户名，例如：

protected void Page_Load(object sender, EventArgs e)
{
    string userName = User.Identity.Name;
}

ASP.NET 会为您解释 cookie，您不必自己读取它。或者您的问题是如何在数据库中存储用户和密码？