ASP.NET 安全認證（一）-如何運用 Form 表單認證

代碼寫 N 久了，總想寫得別的。這不，上頭說在整合兩個項目，做成單一登錄（Single Sign On），也有人稱之爲“單點登錄”。查閱相關文檔後，終於實現了，現在把它拿出來與大家一起分享。或許大家會問：“這與標題不符呀？”別急，在下筆之前，我腦子裏想到了我剛使用 Form 認證時遇到的一些問題，以及使用過程用到的一些技巧（實乃投機取巧是也 ^_^ ）。偶打初中那時，語文水平就不怎麼滴，考試常常作文寫不出來，所以寫作水平有限，還請大家海量。對了，本人不僅寫作水平有限，編程能力也不是很好，此文供大家學習交流之用，歡迎廣大勞苦羣衆拎着雞蛋、捧着鮮花前來評論。轉載請註明原創作者乃寒羽楓是也，不甚感激！

廢話也說的差不多了，言歸正傳， ASP.NET 的安全認證，共有“Windows”“Form”“Passport”“None”四種驗證模式。“Windows”與“None”沒有起到保護的作用，不推薦使用；“Passport”我又沒用過，唉……所以我只好講講“Form”認證了。我打算分三部分：

第一部分 —— 怎樣實現From 認證；

第二部分 —— Form 認證的實戰運用；

第三部分 —— 實現單點登錄（Single Sign On）

第一部分 如何運用 Form 表單認證

一、        新建一個測試項目

爲了更好說明，有必要新建一個測試項目（暫且爲“FormTest”吧），包含三張頁面足矣（Default.aspx、Login.aspx、UserInfo.aspx）。啥？有人不會新建項目，不會新增頁面？你問我咋辦？我看這麼辦好了：拖出去，打回原藉，從幼兒園學起……

二、        修改 Web.config

1、  雙擊項目中的Web.config（不會的、找不到的打 PP）

2、  找到下列文字 <authentication mode="Windows" /> 把它改成：

<authentication mode="Forms">

<forms loginUrl="Login.aspx" name=".ASPXAUTH"></forms>

</authentication>

3、  找到<authorization> <allow users="*" /></authorization>換成

<authorization><deny users="?"></deny></authorization>

 

這裏沒什麼好說的，只要拷貝過去就行。雖說如此，但還是有人會弄錯，如下：

<authentication mode="Forms">

       <forms loginUrl="Login.aspx" name=".APSX"></forms>

<deny users="?"></deny>

 </authentication>

若要問是誰把 <deny users="?"></deny> 放入 <authentication> 中的，我會很榮幸地告訴你，那是 N 年前的我：<authentication> 與 <authorization> 都是以 auth 字母開頭又都是以 ation 結尾，何其相似；英文單詞背不下來的我以爲他們是一夥的……

三、        編寫 .cs 代碼——登錄與退出

1、  登錄代碼：

a、  書本上介紹的

         private void Btn_Login_Click(object sender, System.EventArgs e)

         {

              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")

              {

     System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.Txt_UserName.Text,false);

     }

}

b、  偶找了 N 久才找到的

private void Btn_Login_Click(object sender, System.EventArgs e)

         {

              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")

              {

System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false);

     Response.Redirect("Default.aspx");

     }

}

以上兩種都可發放驗證後的 Cookie ，即通過驗證，區別：

方法 a) 指驗證後返回請求頁面，俗稱“從哪來就打哪去”。比如：用戶沒登錄前直接在 IE 地址欄輸入 http://localhost/FormTest/UserInfo.aspx ，那麼該用戶將看到的是 Login.aspx?ReturnUrl=UserInfo.aspx ，輸入用戶名與密碼登錄成功後，系統將根據“ReturnUrl”的值，返回相應的頁面

方法 b) 則是分兩步走：通過驗證後就直接發放 Cookie ，跳轉頁面將由程序員自行指定，此方法多用於 Default.aspx 使用框架結構的系統。

 

2、  退出代碼：

private void Btn_LogOut_Click(object sender, System.EventArgs e)

     {

System.Web.Security.FormsAuthentication.SignOut();

}

四、        如何判斷驗證與否及獲取驗證後的用戶信息

有的時候，在同一張頁面需要判斷用戶是否已經登錄，然後再呈現不同的佈局。有人喜歡用 Session 來判斷，我不反對此類做法，在此我只是想告訴大家還有一種方法，且看下面代碼：

if(User.Identity.IsAuthenticated)

         {

              //你已通過驗證，知道該怎麼做了吧？

}

User.Identity 還有兩個屬性AuthenticationType（驗證類型）與 Name（用戶名稱） ，大家要注意的是 Name 屬性，此處的User.Identity.Name將得到，驗證通過（RedirectFromLoginPage 或SetAuthCookie）時，我們帶入的第一個參數 this.Txt_UserName.Text 。這個參數很重要，關係到種種……種種的情況，何出此言，且聽下回分解……