Azure ACS、WIF 3.5、Asp.Net 3.5 自定义成员资格提供程序和 IsAuthenticated

Question

按照本指南Using Azure ACS 中的步骤操作，我通过 Facebook 配置和验证了一个可用的 Azure ACS 服务，重定向回在我的开发服务器上运行的网站。

身份验证成功后，Azure ACS 将重定向回我的本地开发网站，并且 IsAuthenticated 标志为真，但是我只想通过检查 / 将来自声明的电子邮件也存在于我的本地数据库中时将 IsAuthenticated 标志设置为真/调用自定义 MembershipProvider。如果索赔中的电子邮件不存在，我想将客户重定向到注册页面。注册并通过身份验证后，我想将 IsAuthenticated 标志设置为 true。

目前，一旦通过 Facebook 和 AzureACS 进行身份验证，用户就可以请求安全页面，例如 ViewAccountBalance.aspx，即使该帐户不存在，因为开箱即用的 IsAuthenticated 标志为 true。有兴趣了解其他人的做法以及最佳做法是什么。

Answer 1

您需要明确区分身份验证和授权。由于用户通过 Facebook 登录，这意味着他已通过身份验证（您知道他是谁以及他来自哪里）。

现在，如果您想根据特定条件限制应用程序的某些部分，您实际上是在谈论授权。您可能会考虑将角色与简单的 HttpModule 结合起来。示例：您的 HttpModule 可以验证用户正在浏览的页面。如果用户访问需要有效配置文件的页面，您可以使用以下代码：

public class RequiresProfileHttpModule : IHttpModule
{
    public void Dispose()
    {

    }

    public void Init(HttpApplication context)
    {
        context.AuthorizeRequest += new EventHandler(OnAuthorize);
    }

    private void OnAuthorize(object sender, EventArgs e)
    {
        HttpApplication app = sender as HttpApplication;
        if (app.Request.Url.ToString().Contains("bla") && !app.Context.User.IsInRole("UsersWithProfile"))
            app.Response.Redirect("http://myapp/register.aspx");
    }
}

如果用户填写了他的电子邮件地址，您唯一需要注意的是更新主体以确保它具有角色 UsersWithProfile。

这只是众多可能的解决方案之一。如果您使用的是 ASP.NET MVC，则可以使用全局 ActionFilters 获得相同的结果。或者，您也可以尝试使用 IClaimsPrincipal（如果用户有个人资料，请添加声明）。

Answer 2

桑德里诺是正确的。您可以使用基于角色的授权（或更一般地说，基于声明的授权）。默认情况下，ACS 只是将身份提供者发出的声明返回给您的依赖方。对于 Facebook，它将返回电子邮件声明。但是，您可以配置 ACS 以创建其他规则。例如，您可以将特定用户映射到值为管理员的角色。然后 ACS 也会将此角色声明返回给您的依赖方。然后您可以使用 Sandrino 的建议来使用基于角色的授权。您也可以参考http://msdn.microsoft.com/en-us/library/windowsazure/gg185915.aspx了解更多信息。