第一部分 如何運用 Form 表單認證
一、 新建一個測試項目
爲了更好說明,有必要新建一個測試項目(暫且爲“FormTest”吧),包含三張頁面足矣(Default.aspx、Login.aspx、UserInfo.aspx)。
二、 修改 Web.config
1、 雙擊項目中的Web.config(不會的、找不到的打 PP)
2、 找到下列文字 <authentication mode="Windows" /> 把它改成:
<authentication mode="Forms">
<forms loginUrl="Login.aspx" name=".ASPXAUTH"></forms>
</authentication>
3、 找到<authorization> <allow users="*" /></authorization>換成
<authorization><deny users="?"></deny></authorization>
三、 編寫 .cs 代碼——登錄與退出
1、 登錄代碼:
a、 書本上介紹的
private void Btn_Login_Click(object sender, System.EventArgs e)
{
if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
{
System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.Txt_UserName.Text,false);
}
}
b、 偶找了 N 久才找到的
private void Btn_Login_Click(object sender, System.EventArgs e)
{
if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
{
System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false);
Response.Redirect("Default.aspx");
}
}
以上兩種都可發放驗證後的 Cookie ,即通過驗證,區別:
方法 a) 指驗證後返回請求頁面,俗稱“從哪來就打哪去”。比如:用戶沒登錄前直接在 IE 地址欄輸入 http://localhost/FormTest/UserInfo.aspx ,那麼該用戶將看到的是 Login.aspx?ReturnUrl=UserInfo.aspx ,輸入用戶名與密碼登錄成功後,系統將根據“ReturnUrl”的值,返回相應的頁面
方法 b) 則是分兩步走:通過驗證後就直接發放 Cookie ,跳轉頁面將由程序員自行指定,此方法多用於 Default.aspx 使用框架結構的系統。
2、 退出代碼:
private void Btn_LogOut_Click(object sender, System.EventArgs e)
{
System.Web.Security.FormsAuthentication.SignOut();
}
四、 如何判斷驗證與否及獲取驗證後的用戶信息
有的時候,在同一張頁面需要判斷用戶是否已經登錄,然後再呈現不同的佈局。有人喜歡用 Session 來判斷,我不反對此類做法,在此我只是想告訴大家還有一種方法,且看下面代碼:
if(User.Identity.IsAuthenticated)
{
//你已通過驗證,知道該怎麼做了吧?
}
User.Identity 還有兩個屬性AuthenticationType(驗證類型)與 Name(用戶名稱) ,大家要注意的是 Name 屬性,此處的User.Identity.Name將得到,驗證通過(RedirectFromLoginPage 或SetAuthCookie)時,我們帶入的第一個參數 this.Txt_UserName.Text 。
第二部分 Form 認證的實戰運用
五、 Web.config 的作用範圍
新建項目時, VS.Net 會在項目根目錄建立一個內容固定的 Web.config。除了在項目根目錄,你還可以在任一目錄下建立 Web.config ,條件就是應用程序級別的節點只能在根目錄的 Web.config 中出現。
關於 Web.config 設置的作用範圍,記住以下兩點:
1、 Web.config 的設置將作用於所在目錄的所有文件及其子目錄下的所有東東(繼承:子隨父姓)
2、 子目錄下的 Web.config 設置將覆蓋由父目錄繼承下來的設置(覆蓋:縣官不如現管)
六、 學會拒絕與巧用允許
回到我們在第一回合新建的測試項目“FormTest” ,既然要進行驗證,按國際慣例,就得有用戶名與密碼。那,這些用戶是管理員自己在數據庫建好呢,還是用戶註冊、管理員審覈好呢。只要不是一般的笨蛋,都知道選擇後者。你們還別說,我公司還真有個別項目是管理員連到數據庫去建帳號的,屬於比較特殊的笨蛋,咱們不學他也罷,還是老老實實添加兩個頁面吧——註冊頁面(Register.aspx)與審覈頁面(Auditing.aspx)。
問題終於就要浮出水面啦,當你做好 Register.aspx 時,想訪問它的時候突然覺得不對勁,怎麼又回到了登錄頁面?你仔細瞧瞧網址,是不是成了:Login.aspx?ReturnUrl=Register.aspx 。怎麼辦,用戶就是因爲沒有帳號纔去訪問註冊頁面的呀?(這句純屬廢話,有帳號誰還跑去註冊。)
1、 新建一個目錄 Public ,用於存放一些公用的文件,如萬年曆、腳本呀……
2、 在“解決方案資源管理器”中右擊點擊目錄 Public ,新增一個 Web.config
3、 把上述 Web.config 的內容統統刪除,僅留以下即可:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.web>
<authorization><allow users="*"/></authorization>
</system.web>
</configuration>
終於切入正題了,不容易呀。根據“覆蓋”原則,我們知道上述 Web.config 將替代根目錄 Web.config 中的 <authorization> 節點設置,即:
<allow users="*"/> 替換 <deny users="?"></deny>
註解:“allow”允許的意思;“*”表示所有用戶;
“deny” 拒絕的意思;“?”表示匿名用戶;
因此,處於 Public 目錄下的文件,允許所有人瀏覽,包括未驗證的用戶。把 Register.aspx 拖進來吧,再也不會有人阻止你瀏覽啦。
除了註冊頁面,我們還提到一個審覈頁面(Auditing.aspx),審覈權限一般都在管理員或主管手裏,並不想讓其他人瀏覽此頁面(真理往往掌握在少數人的手裏,這也是沒法子的事),怎麼辦?“辦法是人想出來滴”呵呵……新建一個管理員的目錄 ManageSys ,在此目錄下再新增一個 Web.config。內容如下:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.web>
<authorization>
<allow users="Admin"/>
<deny users="*"/>
</authorization>
</system.web>
</configuration>
現在的問題就是怎麼才能知道誰是“Admin”呢,這個問題就有點象“我的鞋底有個洞”—— 天不知地知,你不知我知。
System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false); //通過驗證,發放 Cookie
之前我曾強調,要注意,第一個參數很重要,重要到什麼程度?說到這,恐怕地球人都知道了——它就是allow與deny的依據。假如此處用戶填寫的是“Admin”即 this.Txt_UserName.Text = "Admin"; 那麼進入系統後,他就能訪問 ManageSys 目錄下的網頁了,其它閒雜人等一律拒之門外。
七、 分散與集中
到目前爲此,我們的測試項目“FormTest”已經擁有兩個目錄三個 Web.config ,伴隨用戶需求的多樣化,Web.config 也會越來越多,比如常用的文件上傳功能等等。衆多的 Web.config 分佈在不同的目錄裏面,維護起來肯定比較煩人。能不能集中起來管理呢,應該咋辦哩?“
要想集中管理,不得不用到 <location> 節點與 path 屬性。在本項目中,我們將目錄 Public 與 ManageSys 下的設置放在根目錄下的 Web.config 裏面,如下:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<location path ="Public">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
<location path ="ManageSys">
<system.web>
<authorization>
<allow users="Admin"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
<system.web>
<!-- 這裏放置原來根目錄 Web.config 的內容,就不列出來了 -->
(本文出自寒羽楓 cityhunter172 的博客:http://blog.csdn.net/cityhunter172 個人站點:http://172.meibu.com)
</system.web>
</configuration>
需要提醒的是
1、 <location> 節點的位置是在 <configuration> 的一個子節點,它與原有的 <system.web> 屬於並列關係
2、 <location> 節點只需要放入對應子目錄 Web.config 中的 <system.web> 的節點內容
八、 額外的保護
細心的人可能早就發現 ASP.NET 的安全認證只針對 .aspx、.ascx …… 等 ASP.NET 文件起作用,而對普通頁面與文件卻“視而不見”,如 .htm、.js 、.jpg 等。通過以下步驟你就可以保護你想保護的文件類型。
1、 打開 Internet 信息服務(IIS)管理器 → 右擊本項目虛擬 → 屬性,如下圖
2、 點擊按鈕“配置”,出現如下對話框:
3、 雙擊 .aspx 的應用程序擴展 → 查看對話框內容,如下圖:
4、 複製“可執行文件”的全路徑名稱後 → 點擊“取消”返回上一層對話框 → 點擊按鈕“添加”
5、 粘貼剛纔複製的內容(我的系統裝在 D 盤,所以內容爲 D:/WINDOWS/Microsoft.NET/Framework/v1.1.4322/aspnet_isapi.dll ) → 填寫後綴名爲 .htm → 填寫動作限制爲“GET,HEAD,POST,DEBUG”(爲方便省事你可選全部)
6、 最後點擊“確定” → 往項目中添加 HtmlPage1.htm → 在 IE 瀏覽器的地址欄直接輸入http://localhost/FormTest/HtmlPage1.htm → 觀看測試效果
最後送大家一段 Web.config 設置
<location path ="決戰紫禁城">
<system.web>
<authorization>
<allow users="葉孤城"/>
<allow users="西門吹雪"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
<location path ="金鑾殿屋脊">
<system.web>
<authorization>
<allow users="腰繫緞帶之人"/>
<deny users="*"/>
</authorization>
</system.web>
</location>