Discussion :

[Takeoman]

Bonjour, bonjour !

Après différentes recherches, je me permet de vous solliciter car je pense ne pas bien avoir compris le mécanisme. Voilà le topo:
Je travaille sur un projet web ASP.NET MVC et suis actuellement en train de développer la partie Authentification. Je souhaiterais pouvoir bénéficier des outils offerts par le framework (à savoir, les Authorize, User.Identity & co).
Après recherches, j'ai cru comprendre que lors d'une authentification par formulaire, il fallait valider le ModelState et vérifier les infos login/mdp en BDD et si OK, créer un cookie (FormsAuthentication.SetAuthCookie) puis rediriger l'utilisateur.

Mon cas est particulier: mes utilisateurs se connectent déjà via un SSO qui s'occupe du login/mdp, crée un cookie et transmet l'identifiant utilisateur via le Header. Mon application reçoit donc le login via Header. Je pensais donc: lire le header, le vérifier et si valide, créer le cookie, sinon, rediriger à la page d'identification du SSO.

Voilà le code source correspondant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
// In Global asax: 
protected void Session_Start()
{
    String username = Request.Headers["Auth-User"];
 
    if (username != null)
    {
        Session.Add(username, "AuthUser");
        FormsAuthentication.SetAuthCookie(username, true);       
    }
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
// In my controller
public ActionResult Login()
{
    if (User.Identity.IsAuthenticated)
    {
        ViewData["headers"] = HttpContext.User.Identity.Name;
    }
    else 
    {
        ViewData["headers"] = "fail";
    }
    return View();
}

Dans mon global.asax: pas de pb, il lit le Header, stock l'info dans la variable de session et a priori, crée le cookie de connexion. Par contre, impossible d'exploiter User.Identity dans mon controller.

Un autre topic avec pb similaire: http://stackoverflow.com/questions/2...authentication
L'auteur du topic à l'air de s'en être sortis mais ne fournit pas l'info dans le détail :/

Auriez-vous des pistes qui pourraient m'aider à avancer ? Merci d'avance !!

[Takeoman]

N'ayant pas trouvé de solution viable malgré mes recherches, j'ai choisis de tout gérer avec les variables de Session pour le moment.
Pas de cookie donc, et je ne pense pas pouvoir bénéficier de la gestion des rôles du type [Authorize] pour le moment.

La question reste ouverte, si certains ont des idées/tutos pour m'aider à mieux comprendre où je me plante

Merci d'avance !

[DotNetMatt]

La solution donnée sur le lien que tu as indiqué est pour MVC4. Pour MVC5 et le prochain 6, les choses ont évolué donc il n'est pas conseillé d'utiliser FormsAuthentication.

Si tu es en MVC4 ou en-dessous, tu dois agir dans l'évènement Application_AuthenticateRequest du global.asax.
Pour MVC5+, il suffit de créér un filtre personnalisé.

Dans les 2 cas, la logique est la même : tu récupères ton header, et s'il est valide, tu crées un User (une identité) que tu injectes dans le contexte HTTP.

Si tu veux plus d'infos, précise la version de MVC que tu utilises.

[Takeoman]

Tout d'abord, merci de ta réponse !

Si tu es en MVC4 ou en-dessous, tu dois agir dans l'évènement Application_AuthenticateRequest du global.asax.

En l’occurrence, je suis en MVC2 (Visual Studio 2010 / Framework .NET 4). Pourrais-tu m'éclairer sur la différence entre Session_Start() et Application_AuthenticateRequest() ? J'ai lu que Session_Start se déclenchait à chaque nouvelle session et AuthenticateRequest à chaque authentification. Pour mon appli, l'authentification a lieu en amont (SSO), du coup, ne vaut-il mieux pas utiliser Session_Start ?

Dans les 2 cas, la logique est la même : tu récupères ton header, et s'il est valide, tu crées un User (une identité) que tu injectes dans le contexte HTTP.

Par injection, tu sous-entends HttpContext.Current.Session ?

Merci encore de ton temps et de ta réponse !

[Takeoman]

Bon, j'ai trouvé une solution qui a l'air de fonctionner. Dans le global.asax, on récupère l'identifiant utilisateur transmis par le SSO via le Header:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
protected void Session_Start()
{
      String username = HttpContext.Current.Request.Headers["maVariable"];
 
      if (!String.IsNullOrEmpty(username))
      {
           HttpContext.Current.Session["Login"] = username;
      }
      else
      {
           FormsAuthentication.RedirectToLoginPage();
      }

Dans le LoginController, je crée un utilisateur que je peux ensuite passer en Session, et surtout: je crée un Cookie d'authentification.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
public ActionResult Login()
{            
     Utilisateur user = new Utilisateur((string)HttpContext.Session["Login"]); 
     HttpContext.Session["User"] = user;
 
     FormsAuthentication.SetAuthCookie(user.login, false);
     return RedirectToAction("monAction", "monController");
}

Du coup, dans mes autres contrôleurs, je peux utiliser les annotations comme [Authorize] ou exploiter mon HttpContext.User.Identity, et agir sur mon utilisateur, qui est en Session.
En espérant que ça puisse guider quelqu'un un jour

[Takeoman]

Petite rectification:

Finalement, le comportement du Session_Start ne me convenait pas: Si deux utilisateurs se connectaient à la suite, d'un même navigateur, c'est toujours le premier utilisateur qui était connecté car Session_Start n'était pas appelé.

J'ai donc mis toutes les vérifications dans le ActionResult Login et pu de problème