Forms身份驗證以及基於角色的權限控制

原創 Jelly_tracy 2020-02-23 01:30

主要思想:Forms身份驗證用來判斷是否合法用戶,當用戶合法後,再通過用戶的角色決定能訪問的頁面。  
具體步驟:  
    1、創建一個網站,結構如下:  
        網站根目錄  
            Admin目錄         ---->    管理員目錄  
                Manager.aspx        ---->    管理員可以訪問的頁面  
            Users目錄         ---->    註冊用戶目錄  
                Welcome.aspx        ---->    註冊用戶可以訪問的頁面  
            Error目錄         ---->    錯誤提示目錄  
                AccessError.htm     ---->    訪問錯誤的提示頁面  
            default.aspx            ---->    網站默認頁面  
            login.aspx          ---->    網站登錄頁面  
            web.config          ---->    網站配置文件  
    2、配置web.config如下:  
        <configuration>  
            <system.web>  
                <!--設置Forms身份驗證-->  
                <authentication mode="Forms">  
                    <forms loginUrl="Login.aspx" name="MyWebApp.APSXAUTH" path="/" protection="All" timeout="30"/>  
                </authentication>  
                <authorization>  
                    <allow users="*"/>  
                </authorization>  
            </system.web>  
        </configuration>  
 
        <!--設置Admin目錄的訪問權限-->  
        <location path="Admin">  
            <system.web>  
                <authorization>  
                    <allow roles="Admin"/>  
                    <deny users="?"/>  
                </authorization>  
            </system.web>  
        </location>  
        <!--設置Users目錄的訪問權限-->  
        <location path="Users">  
            <system.web>  
                <authorization>  
                    <allow roles="User"/>  
                    <deny users="?"/>  
                </authorization>  
            </system.web>  
        </location>  
    3、在login.aspx頁面的登錄部分代碼如下:  
        protected void btnLogin_Click(object sender, EventArgs e)  
        {     
            //Forms身份驗證初始化  
            FormsAuthentication.Initialize();  
            //驗證用戶輸入並得到登錄用戶,txtName是用戶名稱,txtPassword是登錄密碼  
            UserModel um = ValidUser(txtName.Text.Trim(),txtPassword.Text.Trim());  
            if (um != null)  
            {  
                //創建身份驗證票據  
                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,  
                                            um.Name,  
                                            DateTime.Now,  
                                            DateTime.Now.AddMinutes(30),  
                                            true,  
                                            um.Roles,//用戶所屬的角色字符串  
                                            FormsAuthentication.FormsCookiePath);  
                //加密身份驗證票據  
                string hash = FormsAuthentication.Encrypt(ticket);  
                //創建要發送到客戶端的cookie  
                HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, hash);  
                if (ticket.IsPersistent)  
                {  
                cookie.Expires = ticket.Expiration;  
                }  
                //把準備好的cookie加入到響應流中  
                Response.Cookies.Add(cookie);  
                  
                //轉發到請求的頁面  
                Response.Redirect(FormsAuthentication.GetRedirectUrl(um.Name,false));  
            }  
            else 
            {  
                ClientScriptManager csm = this.Page.ClientScript;  
                csm.RegisterStartupScript(this.GetType(), "error_tip", "alert('用戶名或密碼錯誤!身份驗證失敗!');", true);  
            }   
        }     
        //驗證用戶  
        private UserModel ValidUser(string name, string password)   
        {  
            return new UserService().Validate(name, password);  
        }  
    4、給網站添加處理程序Global.asax,其中通用身份驗證代碼如下:  
        //改造原來的User,給其添加一個用戶所屬的角色數據  
        protected void Application_AuthenticateRequest(object sender, EventArgs e)  
        {  
            if (HttpContext.Current.User != null )  
            {  
                if (HttpContext.Current.User.Identity.IsAuthenticated)  
                {  
                    if (HttpContext.Current.User.Identity is FormsIdentity)  
                    {  
                        FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity;  
                        FormsAuthenticationTicket ticket = id.Ticket;  
 
                        string userData = ticket.UserData;  
                        string[] roles = userData.Split(',');  
                        //重建HttpContext.Current.User,加入用戶擁有的角色數組  
                        HttpContext.Current.User = new GenericPrincipal(id, roles);  
                    }  
                }  
            }  
        }  
    5、在Admin目錄中Manager.aspx頁面加載代碼如下:  
        protected void Page_Load(object sender, EventArgs e)  
        {  
            //判斷通過身份驗證的用戶是否有權限訪問本頁面  
            FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity;  
            //判斷通過身份驗證的用戶是否是Admin角色  
            if (!id.Ticket.UserData.Contains("Admin"))   
            {  
                //跳轉到訪問權限不夠的錯誤提示頁面  
                Response.Redirect("~/Error/AccessError.htm", true);  
            }  
        }  
        //安全退出按鈕的代碼  
        protected void btnExit_Click(object sender, EventArgs e)  
        {  
            //註銷票據  
            FormsAuthentication.SignOut();  
            ClientScriptManager csm = this.Page.ClientScript;  
            csm.RegisterStartupScript(this.GetType(), "exit_tip", "alert('您已經安全退出了!');", true);  
        }  
    6、在Users目錄中Welcome.aspx頁面加載代碼如下:  
        protected void Page_Load(object sender, EventArgs e)  
        {  
            //判斷通過身份驗證的用戶是否有權限訪問本頁面  
            FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity;  
            //判斷通過身份驗證的用戶是否是User角色  
            if (!id.Ticket.UserData.Contains("User"))   
            {  
                //跳轉到訪問權限不夠的錯誤提示頁面  
                Response.Redirect("~/Error/AccessError.htm", true);  
            }  
        }  
        //安全退出按鈕的代碼  
        protected void btnExit_Click(object sender, EventArgs e)  
        {  
            //註銷票據  
            FormsAuthentication.SignOut();  
            ClientScriptManager csm = this.Page.ClientScript;  
            csm.RegisterStartupScript(this.GetType(), "exit_tip", "alert('您已經安全退出了!');", true);  
        }  
測試結果:  
    數據:  
        假設有3個用戶,如下:  
        ------------------------------------------  
        用戶名     密碼      角色字符串  
        ------------------------------------------  
        sa      sa      Admin,User  
        admin       admin       Admin  
        user        user        User  
        ------------------------------------------  
    測試:  
        如果使用admin登錄,只能訪問Admin目錄的Manager.aspx頁面;  
        如果使用user登錄,只能訪問Users目錄的Welcome.aspx頁面;  
        使用sa登錄,既能訪問Admin目錄的Manager.aspx頁面,又能訪問Users目錄的Welcome.aspx頁面。  
    注意:測試時注意及時點擊安全退出按鈕,否則影響測試結果。 


本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/iambenbenchen/archive/2009/09/24/4590270.aspx

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【Spring Security技術棧開發企業級認證與授權】-----------使用Spring Security控制授權

前言 本篇博客主要分享: springSecurity源碼分析,權限表達式,基於數據庫Rbac權限控制 一、SpringSecurity控制授權 1.SpringSecurity授權的定義 不同系統權限不同: 2.Sp

总是幸福的老豌豆 2020-07-07 13:46:19

學習筆記(1)——用戶/用戶組權限

開始學習Linux,做些筆記。 (一)關於用戶和用戶組及其權限的問題 用戶(User):文件所有者,可以屬於不同的用戶組,擁有私人空間。但是root用戶具有最高權限,可以對一切文件進行讀寫執行(rwx)。 可以通過”su - 用戶名“來切

lll狼lll 2020-07-07 06:52:04

10. 如何在XPages裏實現典型的Notes權限控制?

(CSDN博客的bug不斷,因爲某些原因整理歷史文章時注意到這一篇在列表中消失了,搜索後發現有其他博主無引用地發表,在自己的博客上反倒被設爲私密了。取消私密設置並重新發布,文章的發表日期變爲當前日期,出現在文章列表的頂端。原來編輯文章頁

starrow 2020-07-07 04:58:48

Access denied for user ‘root’@’192.168.70.132’ (using password: YES)

說明:遠程連接10.62數據庫,突然有一天無法連接,報上述錯誤(我的IP是70.132)。 執行語句,use mysql;   SELECT User, Password, Host FROM user; 存在3中root用戶,可以lo

伟衙内 2020-07-06 16:45:54

【Spring Security技術棧開發企業級認證與授權】----項目搭建

前言 本篇博客主要是分享,SpringSecurity項目的搭建過程。 1.開發環境的安裝 安裝JDK 安裝MySql 安裝STS 我使用IDEA 2.代碼結構 zcw-security:主模塊 zcw-security

总是幸福的老豌豆 2020-07-05 10:00:28

【Spring Security技術棧開發企業級認證與授權】----使用Spring social開發第三方登錄:(QQ 與微信登錄)

前言 博客主要分享如何實現QQ與微信登錄 一、OAuth協議 1.OAuth協議要解決的問題 可以幫我們存在問題: 應用可以訪問用戶在微信上的所有數據 用戶只有修改密碼,才能收回授權 密碼泄露的可能性大大提高 2.OAu

总是幸福的老豌豆 2020-07-05 10:00:28

更換頭像

更換頭像的功能基本在每個app都有的,而且是最基本的,我前段時間做了下項目中的更換頭像功能,記錄下遇到的坑 android 7.0之後需要動態申請權限 Android 7.0 file://開頭的被認爲是不合法的uri,需要轉成

guaiguai_2015 2020-07-04 19:05:07

【線段樹】【樹】[BZOJ4293][HYSBZ4293][PA2015]Siano

題目描述 注:此題爲BZOJ的權限題目 Description 農夫Byteasar買了一片n畝的土地,他要在這上面種草。 他在每一畝土地上都種植了一種獨一無二的草,其中,第i畝土地的草每天會長高a[i]釐米。 Byteasa

JeremyGJY 2020-07-04 13:24:21

Android打包出現未添加的權限——刪除ShareSDK添加的權限

接手的舊項目,上架的時候發現檢測出有定位權限,而項目里根本沒有用到定位,經過一番查找,發現是因爲集成了ShareSDk,詢問Mob技術人員得知可以通過代碼配置去除不需要的權限。 在build.gradle文件中的MobSDK下通過

具体后果 2020-07-04 11:31:50

關於讀取通訊錄時應用秒退的問題

最近在學習Android內容提供商(Content Providers)這部分時,模仿書上的獲取通訊錄的程序,基本一樣的程序代碼,打開應用卻秒退了: 看了一下運行記錄,有以下這段錯誤提示: “Caused by: java

mickey35 2020-07-04 10:31:31

JWT實現認證

10分鐘瞭解JSON Web令牌(JWT): https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc POM文件引用: <dependency>

郜小虎 2020-07-04 00:13:42

07-Linux文件權限管理

文件的類型 Linux的哲學思想:一切皆文件。 Linux的文件分爲多種類型。 可以通過ll命令查看文件的類型: ll #輸出: -rw-------. 1 root root 1266 2月 29 11:42 anaco

NetRookieX 2020-07-03 22:54:56

mysql回收用戶權限

1.創建test1用戶 select password('test1'); 按 Ctrl+C 複製代碼   按 Ctrl+C 複製代碼 create user 'test1'@'localhost' identified by pas

hybaym 2020-07-01 16:19:25

springboot整合shiro安全管理框架

簡介 shiro是什麼        apache shiro 開源安全框架 , 一個更加健全的RBAC框架 , 乾淨利落處理身份認證 , 授權 , 企業會話管理 ,加密和緩存等功能 . shiro和spring securit

瓶中怪 2020-06-30 03:10:56

【spring系列】spring security入門

​ spring security作爲spring的親兒子,在進行web開發的時候,可以進行一個優雅的權限控制。筆者說來慚愧,工作n多年一直沒有機會深入研究此框架。如有不對的地方望大家指正。 spring boot引入 mave

叁滴水 2020-06-29 06:50:00