ASP.NET MVCでAjaxな認証

ASP.NET Ajaxとの相性が良くないよね、という思いからprototype.jsへ返り咲き。 jQueryにはすごいのがあったしね。あ、でもそこまで(Controllerを派生させてExecuteとRenderViewをオーバーライドして、Site.Masterか Ajax.Masterか切り替え。さらにクライアントサイドのjQueryで対象エレメント部だけを抽出しなおして描画に反映。すごくて感動した)のはちょっと面倒なので、軽くね。

1. まず、普通にASP.NET MVC(Preview2)でプロジェクト作成。
2. そしたらControllers/Models/Views/Contentフォルダができるので、このContentにprototype.jsを入れる。
3. Controllersに名前を"SecureController"を作成(なんでもいいんだけど)。
4. Controllersに名前を"ApiController"を作成(なんでもいいんだけど)。
5. Views/Homeフォルダに"Mvc View Content Page"をテンプレートに"Login.aspx"を作成。
6. 同じくViews/Apiフォルダ(作る)に"Mvc View Page"(ここ大事！)をテンプレートに"Login.aspx"を作成。
7. Views/Secureフォルダ(作る)に"Mvc View Content Page"として"Index.aspx"を作成。

ここまでで準備完了。イメージ的には/Secure/Indexはログインしてないとアクセスできないよ、って言う感じです。 ルートのweb.configでForm認証使うことと、セキュアなパスを指定。

        <authentication mode="Forms">
           <forms loginUrl="/Home/Login"></forms>
       </authentication>

↑これと↓これ。

<location path="Secure"> <system.web> <authorization> <deny users="?"/> </authorization> </system.web> </location>

Views/Shared/Site.Masterのhead要素内にprototype.jsへのscriptタグを作成。

    <script src="/Content/prototype.js" type="text/javascript"></script> 

※常にルートを指すようにしてるけど、相対で参照するようにしたい場合は、ヘルパーを作りましょう。標準で用意してくれることを希望しつつ。 Views/Home/Indexの中身は単純にSecure/Indexへのリンクだけ。これをActionLink<T>で作成(なんかこれがお勧めなリンクの作り方っぽい)。

<%@ Page Language="C#" MasterPageFile="~/Views/Shared/Site.Master" AutoEventWireup="true" CodeBehind="Index.aspx.cs" Inherits="MvcApplication1.Views.Home.Index" %>
<%@import Namespace="MvcApplication1.Controllers" %>
<asp:Content ID="indexContent" ContentPlaceHolderID="MainContentPlaceHolder" runat="server">
   <h2>Ajaxな認証機能</h2>
   <p>
   <%= Html.ActionLink<SecureController>(c=>c.Index(),"Secure Page") %>
   </p>
</asp:Content> 

※@importでコントローラのnamespaceを指定しておく。

"Secure Page"のリンク先は"/Secure/Index"(Indexは省略されてるけど)。 中身は単純に↓こんな感じにしときました。

<h2>要認証！！</h2>
ログインしてないとみれないよ。<br />
Welcome <b><%=User.Identity.Name %></b>!!

この段階でリンクをクリックすると認証してないので、単純に”Home/Login”にリダイレクトされます。なので、今度はそっちを用意。

<%@ Page Title="" Language="C#" MasterPageFile="~/Views/Shared/Site.Master" AutoEventWireup="true" CodeBehind="Login.aspx.cs" Inherits="MvcApplication1.Views.Home.Login" %>
<asp:Content ID="Content1" ContentPlaceHolderID="MainContentPlaceHolder" runat="server">
<form>
 <table>
 <tr>
   <th>Longin ID</th>
   <td><%=Html.TextBox("id") %></td>
 </tr>
 <tr>
   <th>Password</th>
   <td><%=Html.Password("pass") %></td>
 </tr>
 <tr>
   <td colspan="2"><input type="button" value="Login" onclick="login()" /></td>
 </tr>
 </table>
</form>
<script type="text/javascript">
function login() {
 var params = $H({"id":$F("id"), "pass":$F("pass")}).toQueryString();

 new Ajax.Request("/Api/Login",{
   method:"post",
   postBody:params,
   onComplete:function(req){
     var status = req.status;
   
     //req.responseText
     if (status==200)
       alert("Success!! " + req.responseText);
     else
       alert("Fail... " + req.responseText);
   }
 });
}
</script>
</asp:Content> 

認証するためのリクエストパスが"Api/Login"になってるのと、認証結果はRESTfulっぽくステータスコードで判定。今回は成功すれば200(OK)、失敗すれば406(Not Acceptable)を利用(使い方があってるのか自信ないけど．．．)。 HTTPステータスコード – Wikipedia

続いて、Api/Loginの中身。今回は単純なIDとPasswordを利用してみます。実際にはMembershipを使うと思うけど。

    public void Login()
   {
     string id = this.ReadFromRequest("id");
     string pass = this.ReadFromRequest("pass");

     ViewData["login"] = false;
     if (id == "yama" && pass == "kawa")
     {
       ViewData["login"] = true;
       FormsAuthentication.SetAuthCookie(id, false);
     }

     RenderView("Login");
   } 

続いて、Views/Api/Login。 ここは戻り値を返すだけの機能にしたいし、レスポンス内容をJsonにしてみるために、Masterを参照しないページ(Mvc View Page)にしました。

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Login.aspx.cs" Inherits="MvcApplication1.Views.Api.Login" %>
(<%= ResponseJson() %>) 

ページの中身は↑これだけ。

    public void Page_Load()
   {
     Response.ContentType = "application/json";
     if ((bool)ViewData["login"] == true)
       Response.StatusCode = 200;
     else
       Response.StatusCode = 406;
   }

   public string ResponseJson()
   {
     return "{\"result\":" + (ViewData["login"]+"").ToLower() + "}";
   }

↑コードもこれだけ。Jsonをベタ書きしてるけど、実際には上手いことシリアライズを使うでしょうね。 で、動かす！

あえて、違うID/Passwordを入れてみる。

正しく入れる。

この成功か失敗の判定はレスポンス内容のJsonをevalして判定せず、XHRのstatsプロパティが200かどうかで判定。RESTfulっぽい～。 画像だと分かりにくいけど、画面のリフレッシュは発生してないからね！ 最後に、Home/Indexに戻って"Secure Page"のリンクをクリックすると～。

イエ～イ。 実際にはControllerでSetAuthCookieやるより、Viewでやるの？ViewでJsonとか返したかったらControllerFactory使うの？えらい人教えて！ これやってて思ったけど、承認はアクション毎にかけるのがMVCっぽいんだね(今回は違うけど)。リソースに対するアクションに権限があるかどうかの方が、コントローラに権限があるかどうかよりもRESTfulだし。フォルダに制限をかけるっていう発想じゃなくて、誰がどのリソースにどんな権限があるかってことだもんね。 結局ActionFilterAttributeで制限かけるのが王道になるのかな～。

ASP.NET MVCでアクセス制限をかける

Webアプリケーションには必ず必要だよね、認証(Authentication)と承認(Authorization)。 はてさてMVC形式でフォルダが割り振られ、物理フォルダの階層とルーティング機能でアクセスするURLのマッピングが一致してないASP.NET MVCではどのようにアクセス制限をかけましょうか。悩ましいですたい。

とりあえずスコットさんとこで確認したところMembershipやらRoleやらは今まで通り使えるってことなので、その辺aspnet_regsqlコマンドとか使って事前に準備を済ませ、ユーザー登録部分も普通にCreateUserWizardコントロールで作成、ログインはLoginコントロールを使って作成。 ただし、この場合runat="server"属性のformが必要になるので、美しさは少し欠ける。綺麗にするならHtml.Formヘルパー使って form要素を作成し、Viewもちゃんと自分でHTML書いてやるのがいいですよね。でも、その方法だと試しに作るには面倒すぎるので、とりあえずでよければ既存コントロールを使って自身にPostbackした後、Response.RedirectでContoroller/Action形式なりの URLに飛ばすことで認証はOKでしょう。

• ASP.Net MVC Membership Basics
• ASP.Net MVC Framework - Using Forms Authentication - Fredrik Normén

で、今度は承認。 まずはオーソドックスにViewsフォルダの中のController別フォルダにweb.configを入れてみた。 が、しかし上手くいかず。Authorizeするタイミングがこのタイミングだと遅いんだろうか。 ※本家Scottさんとこのコメント欄でそれらしいこと書いてた(ルーティングはOnPostMapRequestRequestHandler eventの後ですよって)。 で、ってことで、ルートのWeb.Configにlocation入れてみた。そしたら、これはすんなりできた。ロールに合わせてコントローラを分けるように作ればフォルダ単位で制御できるから今までとおなじように扱える。ただし、pathにアクションまで含めても上手くいかなかった。そんな使い方するのかどうか微妙だけど、気になるから調べてみたら、2つの方法で解決できる模様(実質1つか)。 まずは標準の方法でPrincipalPermission属性をアクション(コントローラのメソッド)に指定する方法。 ASP.NET MVC framework - Security もうひとつがSystem.Web.Mvc.ActionFilterAttributeを派生させてカスタム属性を作ってそこで制御する方法(要するにどっちも属性なんだけど)。 Rob Conery » ASP.NET MVC: Securing Your Controller Actions どっちも例外発生するからApplication_Errorで例外をハンドリング。 アクション毎に制限をかけたいっていう需要がどの程度これから出てくるか(個人的にそういう設計にするかどうか)分からないけど、ソースをいじるより web.configいじったほうが気分が楽だから、コントローラ単位の承認(Authorize)がいいんじゃなかろうかと思う次第でやんす。 全然話はかわるんですが↓これがちょっとすごい。 Chris van de Steeg’s blog - What’s practical is logical ASP.NET MVC＋jQuery。テンプレートまで用意してる。ViewでJSON返すよ～とか、Ajaxで簡単取得(Htmlヘルパーも拡張してる)とか。