這兩天做新項目,把自己的碰到的問題說說。
做Web的東西,自然少不了身份驗證,在asp.net中Form驗證因該是方便的了。當然,你要是用asp.net 2.0以上的話,用MemberShip更方便。
只要簡單的在web.config的<system.web>節點裏加上<authentication mode="Forms" >除了login.aspx其他的都有不能直接訪問了。
<forms name="WebSite" loginUrl="login.aspx" path="/" />
</authentication>
<authorization>
<deny users="?"/>
</authorization>
問題也來了,css,pic也都不能訪問了。
解決方法:
在剛纔那個<system.web>的外面在加上<location path="img">這樣對整個“img”目錄的訪問就沒有限制了。
<system.web>
<authorization>
<allow users="*" />
</authorization>
</system.web>
</location>
-----------------------
以前開發項目時經常是自己開發一套用戶權限管理系統進行驗證,比較靈活。最近爲了單點登錄的問題又把Asp.Net自帶的驗證方式看了一遍,發現這種方式也比較方便,功能也還可以。在Asp.Net提供了三種常用的驗證方式:Windows方式是和IIS結合起來可以實現基本、摘要、集成 Windows等身份驗證;Passport方式是使用Windows Live ID的帳戶來進行統一驗證的;Forms方式是使用常見的表單來實現驗證。
一、普通實現方式
這種方式是最簡單的,只需要配置一下就可以了。
1、執行aspnet_regsql命令建立數據庫
aspnet_regsql命令在C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727目錄下,按提示運行就可以了
2、新建一個web網站
在Web.Config中加入配置:
<connectionStrings>
<add name="MySqlConnection" connectionString="Data Source=dbserver;Initial Catalog=database;user id=userid;password=****;" />
</connectionStrings>
<system.web>
<authorization>
<deny users="?"/>
</authorization>
<authentication mode="Forms">
<forms loginUrl="login.aspx" name=".ASPXAUTH"/>
</authentication>
<membership defaultProvider="SqlProvider">
<providers>
<clear />
<add connectionStringName="MySqlConnection" applicationName="MyApplication"
enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="true"
requiresUniqueEmail="true" passwordFormat="Hashed" name="SqlProvider"
type="System.Web.Security.SqlMembershipProvider" />
</providers>
</membership>
</system.web>主要就是指定Forms驗證使用的數據庫,如果不指定數據庫會使用本機默認的aspnetdb 數據庫。
deny users="?"表示不允許匿名用戶訪問,也就是說當匿名用戶訪問時自動跳轉到下面配置的login.aspx頁面。
至於authorization和authentication節的其他屬性可以參考MSDN,裏面有很詳細的介紹。
3、在網站裏創建Default.aspx和Login.aspx頁面
在Login.aspx頁面裏面放入Login和CreateUserWizard控件(因爲我們新建的庫中一個用戶也沒有,CreateUserWizard控件只是用來建立測試用戶的,建好用戶後可以把這個控件刪除)
在Default.aspx頁面中隨便放入一些內容。
當我們訪問Default.aspx時就會自動轉入Login.aspx進行驗證了。
二、自定義實現方式
採用第一種方式時會要求建立一個數據庫,很多表,可能並不符合我們自己的業務要求。可以使用以下的自定義方式
1、利用Login控件的Authenticate事件
這個事件就是用來進行驗證的,可以通過指定true值表示驗證通過:
protected void Login1_Authenticate(object sender, AuthenticateEventArgs e)
{
//判斷用戶名密碼是否正確
//
e.Authenticated = true;
}
2、完全拋開Login等控件,自己寫代碼
其實Login控件的核心主要也就是往Cookie裏面放入一些值,那麼我們可以在自己的代碼中來進行這個操作:
protected void Button1_Click(object sender, EventArgs e)
{
//判斷用戶名密碼是否正確
//.
FormsAuthentication.SetAuthCookie(userName, false);
if (Context.Request["ReturnUrl"] != null)
{
Response.Redirect(Context.Request["ReturnUrl"]);
}
else
{
Response.Redirect(FormsAuthentication.DefaultUrl);
}
}採用以上兩種方式就不用建立默認的數據庫了,直接使用我們的邏輯進行驗證操作
三、自定義角色提供程序
以上說的都是用戶級別的驗證,在有的情況下需要根據角色來進行驗證,比如指定某個目錄或某個aspx文件只能讓哪幾個角色的用戶訪問,根據角色來控制的話比較方便靈活。
1、在登錄驗證的時候把角色信息也保存到Cookie中去:
protected void Button1_Click(object sender, EventArgs e)
{
//判斷用戶名密碼是否正確
//.
//得到用戶的角色,測試時暫時寫死
string userRoles = "Admins,testst";
FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, user, DateTime.Now, DateTime.Now.AddMinutes(30), false, userRoles, "/");
string HashTicket = FormsAuthentication.Encrypt(Ticket);
//把角色信息保存到Cookie中去
HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);
Response.Cookies.Add(UserCookie);
if (Context.Request["ReturnUrl"] != null)
{
Response.Redirect(Context.Request["ReturnUrl"]);
}
else
{
Response.Redirect(FormsAuthentication.DefaultUrl);
}
}把角色信息加密成特定的格式保存。
2、自定義角色提供程序
如果要按照角色進行驗證的話,肯定要涉及到角色提供程序,在默認情況下也是會去連接默認的數據庫的,我們可以自己寫一個角色提供程序來實現自己的邏輯。
首先在web.config中加入配置:
Code
<roleManager defaultProvider="MyRoleProvider"
enabled="true"
cacheRolesInCookie="true"
cookieName=".ASPROLES"
cookieTimeout="30"
cookiePath="/"
cookieRequireSSL="false"
cookieSlidingExpiration="true"
cookieProtection="All" >
<providers>
<clear />
<add name="MyRoleProvider"
type="MyRoleProvider"
writeExceptionsToEventLog="false" />
</providers>
</roleManager>這個就是指定我們的角色提供類MyRoleProvider。
這個類必須從System.Web.Security.RoleProvider繼承,只要重載實現一個方法就可以了(其他方法返回異常):
public override string[] GetRolesForUser(string username)
{
FormsIdentity Id = HttpContext.Current.User.Identity as FormsIdentity;
if (Id != null)
{
return Id.Ticket.UserData.Split(new Char[] { ',' });
}
return null;
}也就是從我們之前保存到Cookie中的值取得用戶角色(FormsAuthentication會自動把保存的cookie轉化成User內的值)
之後我們就可以在web.config中配置角色驗證規則了:
<location path="admin">
<system.web>
<authorization>
<allow roles="Admins"/>
<deny users="*"/>
</authorization>
</system.web>
</location>或者也可以在代碼中判斷:
bool a = User.IsInRole("testt");判斷起來還是很方便的。
四、單點登錄
使用Forms的單點登錄主要是通過machineKey的配置,machineKey 元素對密鑰進行配置,以便將其用於對 Forms 身份驗證 Cookie 數據和視圖狀態數據進行加密和解密,並將其用於對進程外會話狀態標識進行驗證
使用這種方式的單點登錄目前只能實現相同主機或相同子域站點之間的同步登錄,比如www.cnblogs.com和firstyi.cnblogs.com可以實現,但是www.cnblogs.com和www.sina.com.cn就不能實現了,對於非同一父域名下的域名間不能跨站登錄
主要配置如下:
<machineKey validationKey="282487E295028E59B8F411ACB689CCD6F39DDD21E6055A3EE480424315994760ADF21B580D8587DB675FA02F79167413044E25309CCCDB647174D5B3D0DD9141" decryptionKey="8B6697227CBCA902B1A0925D40FAA00B353F2DF4359D2099" validation="SHA1"/>
<authentication mode="Forms">
<forms loginUrl="login.aspx" name=".ASPXAUTH1" domain=".cnblogs.com" />
</authentication>要實現單點登錄的多個web站點的machineKey必須一樣,forms裏面的name和domain也必須一樣
這樣配置好之後,在其中一個站點登錄後再調轉到另一個站點就不需要再次登錄了。
注:如果MOSS網站採用Forms驗證方式的話,只要把MOSS站點的對應配置改成和自己的Asp.Net站點一致,那麼可以從自己的站點直接進入MOSS站點,也不需要重新登錄(MOSS站點和自己的站點要有相同的用戶名)
其他:
Forms驗證之後可以使用以下方法退出登錄:
FormsAuthentication.SignOut();
另外這些登錄的後臺Module是配置在C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/CONFIG/web.config文件中的:
<add name="WindowsAuthentication" type="System.Web.Security.WindowsAuthenticationModule"/>
<add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule"/>
<add name="PassportAuthentication" type="System.Web.Security.PassportAuthenticationModule"/>
