关于ASP.NET MVC中Form Authentication与Windows Authentication的简单理解

一般互联网应用，如人人网，微博，都是需要用户登录的，如果用户不登陆，就不能使用此网站。所以，这里都是用FormAuthentication,要求用户填写用户名与密码，然后登录成功后，FormAuthentication.SetAuthCookie()方式向客户端Cookie中写入一个认证Token.

一般企业内部的应用，企业内部信息系统，使用Windows Auhentication. 因为企业内部都有自己的域，员工的电脑都有这个域内部的一个ID，而且这个ID是唯一的，所有的操作都会通过这个ID进行。企业内部的信息系统是不需要用户注册的，用的都是这个ID，所以，使用Windows Authentication. 但是需要注意的是，FormAuthentication.SetAuthCookie()往往写入的都是很简单的字段，一般是username, 而真正系统中的User实体是一个很复杂的对象，有很多信息，所以，每次当用户进入这个系统后，程序会根据用户的ID或者username，找到数据库中对应的详细的User对象，然后放到Session中。一般这些操作是在Global.asax.cs中的Session_Start()中进行的。

protected void Session_Start(object sender, EventArgs e)
{
var securityHelper = new SecurityHelper();
securityHelper.Authenticate();
}

public class SecurityHelper
{

private string GetWindowsVcnUserName()
{
// Get windows user
var loggedUser = System.Web.HttpContext.Current.User.Identity;

if (loggedUser != null)
{
string username = loggedUser.Name;
username = username.Substring(username.IndexOf('\\') + 1);
username = username.ToUpper();

return username;
}
return null;
}

public virtual bool Authenticate()
{
// Inject implementation of the UserService through DI
if (UserService == null)
{
UserService = Container.Resolve<UserService>();
}

string userLoggin = GetWindowsVcnUserName();

// Get user from external authorization system
var user = UserService.GetUser(userLoggin);
if (user == null)
{
//说明数据库中没有这个用户，此时可以根据需要设定相应的逻辑，可以提示该用户不能访问此系统，也可以为此用户建立一个Guset账号，根据需要而定
}

// Set session
System.Web.HttpContext.Session.Add("user", user);
return true;
}
}

此后，在该Session生存周期内，需要User信息的时候，只要从Session中拿就可以了，因为Session中有一个详细的User对象