Walidacja „siły” hasła w ASP.NET MVC

Już od jakiegoś czasu nie „postowałem” na moim blogu… Na usprawiedliwienie napiszę, że po godzinach pracuję obecnie nad własnym czytnikiem RSS online (wiadomo, google reader niebawem zniknie, a jak na razie nic innego nie przypadło mi do gustu, tak że postanowiłem stworzyć coś własnego… zobaczymy co z tego wyjdzie…). W każdym bądź razie czas nadrobić zaległości, a prace nad czytnikiem również potrafią dostarczyć trochę tematów do opisania 😉 Jednym z nich tytułowy problem sprawdzania jakości wprowadzanego podczas rejestracji hasła i propozycją jego rozwiązania chciałbym się dzisiaj podzielić (wiem wiem, dużo piszę o walidacji… obiecuję, że w najbliższym czasie pojawią się tutaj tematy z innych obszarów).

Po pierwsze – atrybut walidacyjny i walidacja po stronie serwera

Prace nad tym problemem rozpocząłem od stworzenia własnego atrybutu walidacyjnego, w celu zdefiniowania sprawdzenia po stronie serwera. Poniżej kod:

/// <summary>
/// Validation attribute for password strength check.
/// </summary>
[AttributeUsage(AttributeTargets.Property)]
public sealed class ValidPasswordAttribute : ValidationAttribute
{
  private readonly List<PasswordValidationRule> rules = new List<PasswordValidationRule>();

  /// <summary>
  /// Initializes a new instance of the <see cref="ValidPasswordAttribute"/> class.
  /// </summary>
  public ValidPasswordAttribute()
  {
    this.rules.Add(new PasswordValidationRule
              {
                Name = "atleasteight",
                Rule = new Regex(@".{8,50}"),
                ErrorMessage = "At least 8 characters is required"
              });
    this.rules.Add(new PasswordValidationRule
              {
                Name = "atleastoneuppercase",
                Rule = new Regex(@"(?=.*[A-Z])"),
                ErrorMessage = "At least one uppercase is required"
              });
    this.rules.Add(new PasswordValidationRule
              {
                Name = "atleastonelowercase",
                Rule = new Regex(@"(?=.*[a-z])"),
                ErrorMessage = "At least one lowercase is required"
              });
    this.rules.Add(new PasswordValidationRule
              {
                Name = "atleastonedigit",
                Rule = new Regex(@"(?=.*\d)"),
                ErrorMessage = "At least one digit is required"
              });
  }

  /// <summary>
  /// Validates the specified value with respect to the current validation attribute.
  /// </summary>
  /// <param name="value">The value to validate.</param>
  /// <param name="validationContext">
  /// The context information about the validation operation.
  /// </param>
  /// <returns>
  /// An instance of the
  /// <see cref="T:System.ComponentModel.DataAnnotations.ValidationResult" /> class.
  /// </returns>
  protected override ValidationResult IsValid(
    object value,
    ValidationContext validationContext)
  {
    var password = value as string;

    if (password == null)
    {
      return new ValidationResult("Password is required");
    }

    foreach (var passwordValidationRule in rules)
    {
      if (passwordValidationRule.Rule.IsMatch(password) == false)
      {
        return new ValidationResult(passwordValidationRule.ErrorMessage);
      }
    }

    return ValidationResult.Success;
  }
}

Jak każdy atrybut walidacyjny, dziedziczy on po klasie „ValidationAttribute”. Moje wymagania co do hasła wprowadzanego przez użytkowników, są następujące:

Polecam szkolenia:

 • co najmniej osiem znaków
 • co najmniej jedna wielka litera
 • co najmniej jedna mała litera
 • co najmniej jedna cyfra

Aby je przechowywać postanowiłem utworzyć do tego celu specjalną klasę „PasswordValidationRule” (jej implementacja za chwilę). Takie rozwiązanie pozwala mi w prosty sposób dodawać lub zmieniać zasady bezpieczeństwa dotyczące haseł w mojej aplikacji.

W powyższym przykładzie, zasady dotyczące haseł definiowane są w konstruktorze atrybutu walidacyjnego. Jak widać, podczas tworzenia zasad, inicjalizowana jest właściwość „Name” (przyda się później, przy definiowaniu walidacji po stronie klienta), właściwość „Rule”, do której przypisywane jest wyrażenie regularne jakie musi zostać spełnione oraz właściwość „ErrorMessage” (nie trzeba tego chyba wyjaśniać…).

Dalej przechodzimy do „clue” tego rozwiązania, a więc implementacji metody „IsValid” (nadpisanie metody wirtualnej z odziedziczonej klasy „ValidationAttribute”). Myślę, że sprawa wygląda tutaj dość prosto: najpierw sprawdzane jest dla pewności czy podana wartość nie jest null’owa, a następnie następuje iteracja po zdefiniowanych w konstruktorze zasadach. Jeśli podane hasło nie spełnia wyrażenia regularnego podanego we właściwości „Rule” zasady, zwracany jest odpowiedni komunikat błędu.

Na koniec obiecana implementacja klasy „PasswordValidationRule” (myślę, że nie ma tu nic co trzeba dodatkowo komentować):

/// <summary>
/// The password validation rule.
/// </summary>
public class PasswordValidationRule
{
  /// <summary>
  /// Gets or sets the name.
  /// </summary>
  /// <value>
  /// The name.
  /// </value>
  public string Name { get; set; }

  /// <summary>
  /// Gets or sets the rule.
  /// </summary>
  /// <value>
  /// The rule.
  /// </value>
  public Regex Rule { get; set; }

  /// <summary>
  /// Gets or sets the error message.
  /// </summary>
  /// <value>
  /// The error message.
  /// </value>
  public string ErrorMessage { get; set; }
}

Po drugie – definicja zasad dla walidacji po stronie klienta

W celu przekazania odpowiednich wartości do walidatora po stronie klienta, należy zaimplementować interfejs „IClientValidatable”, należy w tym celu dodać go do definicji klasy atrybutu:

public sealed class ValidPasswordAttribute : ValidationAttribute, IClientValidatable

Dodanie tego interfejsu wymusza na nas implementację metody „GetClientValidationRules”, w której zdefiniowane zostaną parametry dostępne po stronie walidatora jQuery. Poniżej moja implementacja:

/// <summary>
/// When implemented in a class, returns client validation rules for that class.
/// </summary>
/// <returns>
/// The client validation rules for this validator.
/// </returns>
/// <param name="metadata">The model metadata.</param>
/// <param name="context">The controller context.</param>
public IEnumerable<ModelClientValidationRule> GetClientValidationRules(
  ModelMetadata metadata,
  ControllerContext context)
{
  var validationRules = new List<ModelClientValidationRule>();

  foreach (var rule in this.rules)
  {
    var validationRule = new ModelClientValidationRule
                 {
                   ErrorMessage = rule.ErrorMessage,
                   ValidationType = rule.Name,
                 };
    validationRule.ValidationParameters.Add("regex", rule.Rule.ToString());
    validationRules.Add(validationRule);
  }

  return validationRules.ToArray();
}

W metodzie tej, na początku definiuję listę obiektów klasy „ModelValidationRule” – jest to standardowa klasa ASP.NET MVC, wykorzystywana do przekazywania parametrów walidacyjnych do klienta. Tworzę tutaj listę, ponieważ posiadam więcej niż jedną zasadę dotyczącą „siły” hasła, z tego względu mam zamiar przekazać poszczególne zasady jako osobne obiekty klasy „ModelValidationRule” – wówczas również po stronie klienta będę mógł z nich korzystać jak z osobnych zasad.

Kolejną rzeczą, którą robię w tej metodzie jest iteracja po zdefiniowanych wcześniej w konstruktorze zasadach haseł, i na ich podstawie utworzenie instancji klasy „ModelValidationRule” (tworząc ją, należy podać jej nazwą – to pokazuje do czego potrzebna była mi właściwość „Name” klasy „PasswordValidationRule”). W linii 22 widać w jaki sposób przekazywana jest wartość wyrażenia regularnego – dodajemy ją do jako parametr walidacyjny o nazwie „regex”.

Na koniec zwracam tak wypełnioną listę jako wynik działania metody.

Po trzecie – implementacja walidacji po stronie klienta

W celu przeprowadzenia walidacji jQuery, stworzyłem skrypt JavaScript – jego kod poniżej:

Validation = (function () {

  function passwordvalidator(value, element, params) {
    var regex = new RegExp(params.regex);

    return regex.test(value);
  }

  function setupValidations() {
    // at least 8 letters
    $.validator.addMethod("atleasteight", passwordvalidator);
    jQuery.validator.unobtrusive.adapters.add("atleasteight", ["regex"],
      function (options) {
        options.rules['atleasteight'] = {
          regex: options.params.regex
        };
        options.messages['atleasteight'] = options.message;
      });

      // at least one uppercase
      $.validator.addMethod("atleastoneuppercase", passwordvalidator);
      jQuery.validator.unobtrusive.adapters.add("atleastoneuppercase", ["regex"],
      function (options) {
        options.rules['atleastoneuppercase'] = {
          regex: options.params.regex
        };
        options.messages['atleastoneuppercase'] = options.message;
      });

      // at least one lowercase
      $.validator.addMethod("atleastonelowercase", passwordvalidator);
      jQuery.validator.unobtrusive.adapters.add("atleastonelowercase", ["regex"],
      function (options) {
        options.rules['atleastonelowercase'] = {
          regex: options.params.regex
        };
        options.messages['atleastonelowercase'] = options.message;
      });

      // at least one digit
      $.validator.addMethod("atleastonedigit", passwordvalidator);
      jQuery.validator.unobtrusive.adapters.add("atleastonedigit", ["regex"],
      function (options) {
        options.rules['atleastonedigit'] = {
          regex: options.params.regex
        };
        options.messages['atleastonedigit'] = options.message;
      });
  }

  function init() {
    // setup validations before document ready!
    setupValidations();

    // action on document ready put here
    $(function () {

    });
  }

  return {
    Init: init
  };
} ());

Validation.Init();

W widocznym powyżej module „Validation”, za samą walidację hasła, odpowiedzialna jest funkcja „passwordvalidator”, która nie robi nic innego jak sprawdza, czy wartość parametru wejściowego „value” (czyli hasła wpisanego przez uzytkownika) spełnia warunki wyrażenia regularnego dostępnego w zmiennej „param.regex” (to jest właśnie ta wartość, którą przekazaliśmy wcześniej w metodzie „GetClientValidationRules”).

Następnie, w funkcji „setupValidations” widać konfigurację czterech walidatorów. Przyglądając się pierwszemu z nich, widzimy najpierw przypisanie do walidatora o nazwie „atleasteight” opisanej wcześniej funkcji walidacyjnej (linia 11). W kolejnych liniach widzimy definicję samego walidatora oraz parametrów jakie są do niego przekazywane.

Po czwarte – użycie w praktyce

Samo użycie tego wszystkiego w praktyce jest już bardzo proste. Po pierwsze należy udekorować odpowiednie właściwości „view-modelu” nowo utworzonym atrybutem. Następnie należy zadbać o walidację po stronie klienta. W tym celu po pierwsze należy załączyć odpowiednie pliki do widoku:

<script src="@Url.Content("~/Scripts/jquery.validate.min.js")" type="text/javascript"></script>
<script src="@Url.Content("~/Scripts/jquery.validate.unobtrusive.min.js")" type="text/javascript"></script>
<script src="@Url.Content("~/Scripts/validation.js")" type="text/javascript"></script>

Po drugie, utworzyć kontrolki formularza za pomocą helpera HTML:

<div class="errorPlaceholder">@Html.ValidationMessageFor(m => m.NewPassword)</div>
<div class="inputPlaceholder">
  <label for="NewPassword">Password <span class="red">*</span></label>
  @Html.PasswordFor(m => m.NewPassword)
</div>

I gotowe! 😉

Podsumowanie

Oczywiście powyższy „tutorial” to tylko moja propozycja rozwiązania opisywanego problemu, myślę jednak że spełniająca większość wymagań i jednocześnie wykorzystująca dostępne w ASP.NET MVC mechanizmy, nie stanowi więc przerostu formy nad treścią… Mam nadzieję, że komuś się przyda 😉

| | |

2 komentarze do “Walidacja „siły” hasła w ASP.NET MVC

 1. Sporo boilerplateu jak na mało generyczne rozwiązanie. 🙂
  Ale czepiam się oczywiście.
  Dzięki za artykuł.

Komentowanie zostało wyłączone.