我想向整个站点添加基本的HTTP授权,该站点对某些受保护的页面使用表单身份验证.我们的想法是将门户网站的开发阶段呈现给客户端,以便他可以使用它,但是为了保护整个站点,在HTTP级别上使用额外的简单登录和密码,这样其他任何人都无法访问它.

web.config中的经典标记在这里是不够的,因为门户网站可以使用表单身份验证(使用用户注册)作为其功能的一部分.

我想在表单身份验证之前通过HTTP授权用户,这可能会在以后发生.

HTTP级别授权应具有由管理员配置的登录名和密码(即在文本文件中).

是否可以通过自定义http模块实现此功能？

更新：

我们的想法是创建保护应用程序的配置级方法.此处不支持表单身份验证,因为处理不同的帐户类型和角色需要在应用程序中进行更改.

我已经使用简单的自定义模块解决了这个问题,该模块使用HTTP 401测试HTTP Authorization标头和响应.该模块可以通过Web.Config附加到任何网站

解：

模块类：

public class BasicAuthModule : IHttpModule
{
    public void Init(HttpApplication context)
    {
        context.BeginRequest += new EventHandler(this.HttpApplicationBeginRequest);
    }

    private void HttpApplicationBeginRequest(object sender, EventArgs e)
    {
        var request = HttpContext.Current.Request;
        var response = HttpContext.Current.Response;
        string authHeader = request.Headers["Authorization"];
        if (string.IsNullOrEmpty(authHeader))
        {
            this.RequireAuthorization(response);
        }
        else
        {
            string authType = authHeader.Split(' ').First();
            string authData = authHeader.Split(' ').Last();
            if (authType.ToLower() == "basic")
            {
                byte[] bytes = Convert.FromBase64String(authData);
                string plainText = Encoding.UTF8.GetString(bytes);
                string login = plainText.Split(':').First();
                string password = plainText.Split(':').Last();
                if (!this.Validate(login, password))
                {
                    this.DenyAccess(response);
                }
            }
            else
            {
                this.DenyAccess(response);
            }
        }            
    }

    private bool Validate(string login, string password)
    {
        return (login == ConfigurationManager.AppSettings["AuthLogin"]) && (password == ConfigurationManager.AppSettings["AuthPwd"]);
    }

    private void RequireAuthorization(HttpResponse response)
    {
        response.AddHeader("WWW-Authenticate", "Basic realm=\"stage\"");
        response.StatusCode = 401;
        response.Status = "401 Authorization Required";
        response.ContentType = "text/html";
        response.End();
    }

    private void DenyAccess(HttpResponse response)
    {
        response.AddHeader("WWW-Authenticate", "Basic realm=\"stage\"")
        response.StatusCode = 401;
        response.Status = "401 Authorization Required";
        response.ContentType = "text/html";
        response.End();
    }
}

在web.config中：

<modules runAllManagedModulesForAllRequests="true">
  ...
  <add name="BasicAuthModule" type="MyNamespace.BasicAuthModule, MyNamespace.Module"/>
</modules>

最佳答案 使用自定义模块肯定可以做到这一点.您可以(并且由于其他原因)忽略ASP.NET的用户概念,并让您的模块返回坚持登录的401或允许请求继续,视情况而定. RFC 2617有你需要知道的全部内容.如果忽略ASP.NET的用户对象,则标准身份验证与应用程序已使用的表单身份验证之间不会产生任何干扰.

请记住,如果不是通过HTTPS,基本很容易被截获,在这种情况下,您可能希望使用摘要.摘要自己做起来有点复杂,但肯定不是非常困难,并且在RFC 2617中也有记录.