`

关于进行Asp.net窗体验证的过程说明

ASP.net.netASPWebIIS 
阅读更多
开发asp.net 程序时最常用的验证模式就是基于窗体的身份验证模式,结合global.asawebconfig可以快速实现此种机制。笼统的说,该过程是先建一个文件夹,然后把要保护的页面放进去,接着设置一下web,config,这样就完成了保护。如果你要访问这个文件夹,就会被强制转到预先设定的登录页面,你填上正确的用户名和密码,提交,系统验证后,就把你的登陆信息写到cookie里面,这样你再去访问那个文件夹,就可以进去了,因为你的登陆凭证已经保存到cookie里面了。
先要建一个asp.net应用程序,这里面至少要有一个登录用的页面,然后修改你的根目录下的web.config,把验证那一块改成Forms验证模式。
<authentication mode="Forms">
<forms loginUrl="Login.aspx" />
</authentication>
<authorization>
<deny users="?" />
</authorization>

接下来在要保护的文件夹里放一个web.config,要注意的是,这个子文件夹里的web.config的实际内容不能像根目录下的那个一样多,否则就会出现配置错误,提示在应用程序级别以外使用注册为 allowDefinition='MachineToApplication' 的节是错误的。导致该错误的原因可能是在 IIS 中没有将虚拟目录作为应用程序进行配置。具体应该怎么做我也不清楚,总之这个web.config只要有下面的内容就ok了。

<configuration>
<system.web>
<authorization>
<!--设置准许访问此文件夹的角色和拒绝的角色,这里准许管理员,老师访问,拒绝学生访问-->
<allow roles="admin" />
<allow roles="teacher" />
<deny roles="student" />
<!--前提是拒绝匿名用户!-->
<deny users="?" />
</authorization>
</system.web>
</configuration>

当然也可以在顶层web.config文件中完成所有的url授权,而不是把它们分在各自目录下的web,config文件中。asp.net也支持这种做法。下面这个web,config文件,放在应用程序根目录下。
如下:此设置是保护admin文件夹下的内容,拒绝匿名用户访问

<location path="admin">
<system.web>
<authorization>
<deny users="?"></deny>
</authorization>
</system.web>
</location>

好了,设置完了,下面就开始为我们的窗体验证写代码了
有两种方式,第一种,当网站的用户不是很多的时候,可以把用户和密码放到web.config里。办法就是在根目录下的web.config文件中加入一个credentials节,里面写上用户名和密码,这个是包含在forms节里面的。
如下所示:

<authentication mode="Forms" >
<forms loginUrl="login.aspx">
<credentials passwordFormat="Clear">
<user name="admin" password="admin"/>
</credentials>
</forms>
</authentication>

在此种情况下 配合使用System.Web.Security.FormsAuthentication.Authenticate(string name,string password)验证credentials节中指定的用户名和密码,存在就返回true。

下面着重介绍第二种方法,通过数据库读取用户名密码进行验证。
1:首先在数据库里建立三张表: Users(UserID,UserName,UserPwd)---存放用户信息
Roles(RoleID,RoleName)------存放角色名称
User_Role(UserID,RoleID)-----用户和角色的中间表,使头两张表成为多对多关系

2:然后在登陆页面的登陆按钮点击事件中加入如下逻辑

if (Page.IsValid)
{
if(Users.Authenticate(txtUsername.Text, txtPassword.Text))//数据库验证方法,代码略
 {
//验证后导向初始页
 FormsAuthentication.RedirectFromLoginPage( txtUsername.Text, chkRemember.Checked ;
}
}

在此也可以用 FormsAuthentication.SetAuthCookie(email.Text, RememberCheckbox.Checked);该方法不进行页面导向,而是停留在本页,然后由自己选择导向的页面。

3:然后就要用到global.asax文件下的Application_AuthenticateRequest事件了,此事件在每次访问aspx文件都会触发。
在其中加入如下代码,功能见注释:

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{

if (Request.IsAuthenticated == true) //如果验证了用户,则为 true,否则为 false
{
String[] roles;
// 首次登陆,还没有存入角色cookies
if ((Request.Cookies["userlroles"] == null) || (Request.Cookies["userlroles"].Value == ""))
{
// 此时调用方法,访问数据库中的记录获得用户角色,并存入cookies
 roles =(String[]) Users.GetRoles(User.Identity.Name).ToArray(typeof(String));
String roleStr = "";
foreach (String role in roles)//一个用户会有多种角色,以一个字符串表示,用;隔开
{
roleStr += role;
roleStr += ";";
}
//创建cookies票据
 FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
1,//版本
 Context.User.Identity.Name,//登陆时候存入的标识用户的用户名
 DateTime.Now,// 发布时间
 DateTime.Now.AddHours(1),// 过期时间
false,// 是否持久
 roleStr// 角色字符串
 );

// 加密票剧
 String cookieStr = FormsAuthentication.Encrypt(ticket);
//发送到客户端,起名userroles
 Response.Cookies["userroles"].Value = cookieStr;//必须加密
 Response.Cookies["userroles"].Path = "/";
Response.Cookies["userroles"].Expires = DateTime.Now.AddMinutes(1);
}
else
{
// 已存在,读取,解密
 FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(Context.Request.Cookies["userroles"].Value);
//把角色字符添加到list里
 ArrayList userRoles = new ArrayList();
foreach (String role in ticket.UserData.Split( new char[] {';'} ))
{
userRoles.Add(role);
}
roles = (String[]) userRoles.ToArray(typeof(String));
}
// 把此用户的角色存到内存中,可以运用User.IsInRole()方法进行检验用户角色
// 也可以使用实现IPrincipal接口的类,自定义赋值给Context.User
 Context.User= new GenericPrincipal(Context.User.Identity, roles);
}
}

4:然后添加读取验证用户是否存在的访问数据库代码,和获得用户角色的代码。
详细码略,这里主要争对三张表写出获得用户角色的存储过程

CREATE PROCEDURE User_GetUserRolesByUsername
(
@Username nvarchar(50)
)
AS
select Roles.RoleName
from Roles
join Users on Users.Username=@Username
join User_Role on User_Role.UserID=Users.UserID
where Roles.RoleID=User_Role.RoleID
GO

至此,我们就完成了一般性的asp.net窗体验证的功能。
下面着重介绍第二种方法,通过数据库读取用户名密码进行验证。
1:首先在数据库里建立三张表: Users(UserID,UserName,UserPwd)---存放用户信息
Roles(RoleID,RoleName)------存放角色名称
User_Role(UserID,RoleID)-----用户和角色的中间表,使头两张表成为多对多关系

2:然后在登陆页面的登陆按钮点击事件中加入如下逻辑

if (Page.IsValid)
{
if(Users.Authenticate(txtUsername.Text, txtPassword.Text))//数据库验证方法,代码略
 {
//验证后导向初始页
 FormsAuthentication.RedirectFromLoginPage( txtUsername.Text, chkRemember.Checked ;
}
}

在此也可以用 FormsAuthentication.SetAuthCookie(email.Text, RememberCheckbox.Checked);该方法不进行页面导向,而是停留在本页,然后由自己选择导向的页面。

3:然后就要用到global.asax文件下的Application_AuthenticateRequest事件了,此事件在每次访问aspx文件都会触发。
在其中加入如下代码,功能见注释:

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{

if (Request.IsAuthenticated == true) //如果验证了用户,则为 true,否则为 false
{
String[] roles;
// 首次登陆,还没有存入角色cookies
if ((Request.Cookies["userlroles"] == null) || (Request.Cookies["userlroles"].Value == ""))
{
// 此时调用方法,访问数据库中的记录获得用户角色,并存入cookies
 roles =(String[]) Users.GetRoles(User.Identity.Name).ToArray(typeof(String));
String roleStr = "";
foreach (String role in roles)//一个用户会有多种角色,以一个字符串表示,用;隔开
{
roleStr += role;
roleStr += ";";
}
//创建cookies票据
 FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
1,//版本
 Context.User.Identity.Name,//登陆时候存入的标识用户的用户名
 DateTime.Now,// 发布时间
 DateTime.Now.AddHours(1),// 过期时间
false,// 是否持久
 roleStr// 角色字符串
 );

// 加密票剧
 String cookieStr = FormsAuthentication.Encrypt(ticket);
//发送到客户端,起名userroles
 Response.Cookies["userroles"].Value = cookieStr;//必须加密
 Response.Cookies["userroles"].Path = "/";
Response.Cookies["userroles"].Expires = DateTime.Now.AddMinutes(1);
}
else
{
// 已存在,读取,解密
 FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(Context.Request.Cookies["userroles"].Value);
//把角色字符添加到list里
 ArrayList userRoles = new ArrayList();
foreach (String role in ticket.UserData.Split( new char[] {';'} ))
{
userRoles.Add(role);
}
roles = (String[]) userRoles.ToArray(typeof(String));
}
// 把此用户的角色存到内存中,可以运用User.IsInRole()方法进行检验用户角色
// 也可以使用实现IPrincipal接口的类,自定义赋值给Context.User
 Context.User= new GenericPrincipal(Context.User.Identity, roles);
}
}

4:然后添加读取验证用户是否存在的访问数据库代码,和获得用户角色的代码。
详细码略,这里主要争对三张表写出获得用户角色的存储过程

CREATE PROCEDURE User_GetUserRolesByUsername
(
@Username nvarchar(50)
)
AS
select Roles.RoleName
from Roles
join Users on Users.Username=@Username
join User_Role on User_Role.UserID=Users.UserID
where Roles.RoleID=User_Role.RoleID
GO

至此,我们就完成了一般性的asp.net窗体验证的功能。
分享到:
| 2008年银子每克的价格
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    asp.net窗体认证总结

    ASP.NET窗体认证是ASP.NET框架中的一种常用的身份验证机制。它可以保护网站的安全,防止未经授权的访问。下面是ASP.NET窗体认证的详细解释: 身份验证机制 在ASP.NET中,身份验证机制可以分为三种:Windows身份...

    ASP.NET 窗体验证

    实验名称:ASP.NET 窗体验证 一 实验要求: (1)能理解客户端和服务器端验证。 (2)会熟练运用ASP.NET验证控件。 (3)会实现分组验证。 二 实验内容: 1. 设计并实现一个带验证控件的用户注册页面 要求如下: (1)...

    【ASP.NET编程知识】ASP.NET窗体身份验证详解.docx

    ASP.NET 窗体身份验证详解 ASP.NET 窗体身份验证是 ASP.NET 中的一种身份验证机制,它可以帮助开发者保护网站的安全性并防止未经授权的访问。窗体身份验证是 ASP.NET 提供的一种身份验证类型,其他类型包括 Windows...

    ASP.NET使用验证控件创建注册窗体

    在ASP.NET中,验证控件是开发过程中不可或缺的一部分,它们主要用于确保用户输入的数据符合预设的规则,如非空检查、长度限制、格式验证等。在创建用户注册窗体时,正确使用验证控件可以提高用户体验,减少服务器端...

    《asp.net中的窗体身份验证(分目录验证篇)》源代码

    在ASP.NET中,窗体身份验证(Forms Authentication)是一种常用的安全机制,用于验证用户的身份,以便访问受保护的Web资源。本示例源代码聚焦于分目录验证,即根据不同的目录或子应用来设定不同级别的访问权限。让...

    《asp.net中的窗体身份验证(验证HTML文件)》源代码

    在ASP.NET中,窗体身份验证(Forms Authentication)是一种常用的安全机制,用于验证用户的身份,确保只有经过授权的用户能够访问受保护的网页。本文将深入探讨这一主题,并结合提供的源代码来理解其工作原理。 ...

    ASP.NET使用身份验证创建登录窗体

    在这个场景中,我们关注的是如何在ASP.NET中使用身份验证创建登录窗体,这是一个核心的安全特性,用于保护网站资源并确保只有授权用户可以访问。 首先,身份验证是Web应用程序安全的基础,它允许系统识别和验证用户...

    asp.net中的窗体身份验证

    2. **ASP.NET的窗体身份验证过程**: - 登录逻辑的编写与测试。 - 创建身份验证票据和管理用户会话。 3. **用户登录页面**: - 设计和实现用户友好的登录界面。 - 处理登录请求和验证过程。 4. **获得用户...

    ASP.NET Web 窗体和 ASP.NET MVC 的兼容性

    ### ASP.NET Web窗体与ASP.NET MVC的兼容性分析 #### ASP.NET Web窗体的优点 在探讨ASP.NET Web窗体与ASP.NET MVC的兼容性之前,我们先回顾一下ASP.NET Web窗体的主要优点: 1. **事件驱动模型**:Web窗体支持...

    ASP.NET窗体身份验证详解

    在使用窗体身份验证时,开发者需要注意保护用户数据安全,确保登录过程中使用的传输层安全,防止敏感信息在传输过程中被截获。此外,应定期对系统进行安全审核,以发现和修复潜在的安全漏洞。 ***窗体身份验证的...

    ASP.NET控件 和 验证控件

    **验证控件**是ASP.NET中用于确保用户输入数据有效性的工具,常见的有`RequiredFieldValidator`(验证字段非空)、`CompareValidator`(比较输入值与特定值或表达式)、`RangeValidator`(验证数值或日期范围)、`...

    基于asp.net新闻系统web窗体

    "基于asp.net新闻系统web窗体"是指一个使用ASP.NET技术构建的Web应用程序,专门用于实现新闻的发布、管理和展示。ASP.NET是Microsoft开发的一个强大的Web开发框架,它允许开发者使用C#或VB.NET等编程语言创建动态、...

    Programming ASP.NET(第三版)

    本书主要介绍.NET平台和ASP.NET;...比较ASP和ASP.NET;...本书对于ASP.NET 2.0技术和Visual Studio 2005进行了全面讲解,出色地囊括了读者在实际编程中会用到的ASP.NET的重要特性,十分适合中级读者。

    ASP.NET MVC源码

    可以把WebApi看成Asp.Net项目类型中的一种,其他项目类型诸如我们熟知的WebForm项目,Windows窗体项目,控制台应用程序等。 WebApi类型项目的最大优势就是,开发者再也不用担心客户端和服务器之间传输的数据的...

    邮箱系统,用asp.net编写的

    本项目是一个使用ASP.NET技术开发的小型邮箱系统,它展示了如何利用微软的.NET框架进行Web应用程序的设计与实现。 ASP.NET是由微软推出的服务器端Web开发平台,它提供了丰富的工具、库和服务,使得开发者能够轻松...

    Programming ASP.NET 中文版 (第3版) pdf Part06

    Programming ASP.NET中文版(第3版) 本书主要介绍.NET平台和ASP.NET;... 本书对于ASP.NET 2.0技术和Visual Studio 2005进行了全面讲解,出色地囊括了读者在实际编程中会用到的ASP.NET的重要特性,十分适合初中级读者。

    web实验源包和实验报告 实验一 ASP.NET网站的建立和运行 实验二ASP.NET网站开发基础 实验三C#和ASP.NET的

    实验五ASP.NET窗体验证 实验六HTTP请求..响应及状态管理 实验七 ASP.NET Web应用程序开发技术 实验8 数据绑定 实验目的与要求: [实验目的] 1、掌握在VSC 2017中建立、连接和管理数据库的方法。 2、了解数据源控件...

    asp.net中的窗体身份验证(最简单篇)源代码

    在ASP.NET中,窗体身份验证(Forms Authentication)是一种常用的安全机制,用于验证用户的身份,确保只有经过授权的用户才能访问受保护的页面。本文将深入探讨窗体身份验证的基本概念、工作流程,并通过源代码解析...

Magicbox
Global site tag (gtag.js) - Google Analytics