关于进行Asp.net窗体验证的过程说明

转载 2006年05月27日 17:02:00

开发asp.net 程序时最常用的验证模式就是基于窗体的身份验证模式,结合global.asawebconfig可以快速实现此种机制。笼统的说,该过程是先建一个文件夹,然后把要保护的页面放进去,接着设置一下web,config,这样就完成了保护。如果你要访问这个文件夹,就会被强制转到预先设定的登录页面,你填上正确的用户名和密码,提交,系统验证后,就把你的登陆信息写到cookie里面,这样你再去访问那个文件夹,就可以进去了,因为你的登陆凭证已经保存到cookie里面了。
    先要建一个asp.net应用程序,这里面至少要有一个登录用的页面,然后修改你的根目录下的web.config,把验证那一块改成Forms验证模式。

作者Blog:http://blog.csdn.net/kingwkb/

 <authentication mode="Forms">
      
<forms loginUrl="Login.aspx" />
 
</authentication>
 
<authorization>
     
<deny users="?" />
 
</authorization>
     接下来在要保护的文件夹里放一个web.config,要注意的是,这个子文件夹里的web.config的实际内容不能像根目录下的那个一样多,否则就会出现配置错误,提示在应用程序级别以外使用注册为 allowDefinition='MachineToApplication' 的节是错误的。导致该错误的原因可能是在 IIS 中没有将虚拟目录作为应用程序进行配置。具体应该怎么做我也不清楚,总之这个web.config只要有下面的内容就ok了。
   
<configuration>
  
<system.web>
    
<authorization>
     
<!--设置准许访问此文件夹的角色和拒绝的角色,这里准许管理员,老师访问,拒绝学生访问-->
       
<allow roles="admin" />
       
<allow roles="teacher" />
       
<deny roles="student" />
       
<!--前提是拒绝匿名用户!-->
       
<deny users="?" />
    
</authorization>
 
</system.web>
</configuration>
  当然也可以在顶层web.config文件中完成所有的url授权,而不是把它们分在各自目录下的web,config文件中。asp.net也支持这种做法。下面这个web,config文件,放在应用程序根目录下。
 如下:此设置是保护admin文件夹下的内容,拒绝匿名用户访问
 
<location path="admin">
  
<system.web>
   
<authorization>
     
<deny users="?"></deny>
   
</authorization>
   
</system.web>
</location>
   好了,设置完了,下面就开始为我们的窗体验证写代码了
   有两种方式,第一种,当网站的用户不是很多的时候,可以把用户和密码放到web.config里。办法就是在根目录下的web.config文件中加入一个credentials节,里面写上用户名和密码,这个是包含在forms节里面的。
   如下所示:
<authentication mode="Forms" >
   
<forms loginUrl="login.aspx">
     
<credentials passwordFormat="Clear">
      
<user name="admin" password="admin"/>
     
</credentials>
   
</forms>
</authentication>
   在此种情况下  配合使用System.Web.Security.FormsAuthentication.Authenticate(string name,string password)验证credentials节中指定的用户名和密码,存在就返回true。


  下面着重介绍第二种方法,通过数据库读取用户名密码进行验证。
    1:首先在数据库里建立三张表: Users(UserID,UserName,UserPwd)---存放用户信息
                              Roles(RoleID,RoleName)------存放角色名称
                              User_Role(UserID,RoleID)-----用户和角色的中间表,使头两张表成为多对多关系

    2:然后在登陆页面的登陆按钮点击事件中加入如下逻辑
 
if (Page.IsValid) 
       
{
            
if(Users.Authenticate(txtUsername.Text, txtPassword.Text))//数据库验证方法,代码略
            {
                 
//验证后导向初始页
                   FormsAuthentication.RedirectFromLoginPage( txtUsername.Text, chkRemember.Checked ;
               }

        }
    在此也可以用 FormsAuthentication.SetAuthCookie(email.Text, RememberCheckbox.Checked);该方法不进行页面导向,而是停留在本页,然后由自己选择导向的页面。

    3:然后就要用到global.asax文件下的Application_AuthenticateRequest事件了,此事件在每次访问aspx文件都会触发。
在其中加入如下代码,功能见注释:
   
protected void Application_AuthenticateRequest(Object sender, EventArgs e)
        
{
            
            
if (Request.IsAuthenticated == true//如果验证了用户,则为 true,否则为 false
            {  
                String[] roles;
                
// 首次登陆,还没有存入角色cookies
                if ((Request.Cookies["userlroles"== null|| (Request.Cookies["userlroles"].Value == ""))    
                
{
                    
// 此时调用方法,访问数据库中的记录获得用户角色,并存入cookies
                    roles =(String[]) Users.GetRoles(User.Identity.Name).ToArray(typeof(String));
                    String roleStr 
= "";
                    
foreach (String role in roles)     //一个用户会有多种角色,以一个字符串表示,用;隔开
                    {
                        roleStr 
+= role;
                        roleStr 
+= ";";
                    }

                    
//创建cookies票据
                    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
                        
1,                              //版本
                        Context.User.Identity.Name,     //登陆时候存入的标识用户的用户名
                        DateTime.Now,                   // 发布时间
                        DateTime.Now.AddHours(1),       // 过期时间
                        false,                          // 是否持久
                        roleStr                         // 角色字符串
                        );

                    
// 加密票剧
                    String cookieStr = FormsAuthentication.Encrypt(ticket);
                    
//发送到客户端,起名userroles
                    Response.Cookies["userroles"].Value = cookieStr;//必须加密
                    Response.Cookies["userroles"].Path = "/";
                    Response.Cookies[
"userroles"].Expires = DateTime.Now.AddMinutes(1);
                }

              
else 
              
{
                    
// 已存在,读取,解密
         FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(Context.Request.Cookies["userroles"].Value);
                    
//把角色字符添加到list里
                 ArrayList userRoles = new ArrayList();
               
foreach (String role in ticket.UserData.Split( new char[] {';'} )) 
               
{
                    userRoles.Add(role);
                 }

                 roles 
= (String[]) userRoles.ToArray(typeof(String));
                }

                
// 把此用户的角色存到内存中,可以运用User.IsInRole()方法进行检验用户角色
                
// 也可以使用实现IPrincipal接口的类,自定义赋值给Context.User
                Context.User= new GenericPrincipal(Context.User.Identity, roles);
               }

        }
   4:然后添加读取验证用户是否存在的访问数据库代码,和获得用户角色的代码。
      详细码略,这里主要争对三张表写出获得用户角色的存储过程
    
CREATE PROCEDURE User_GetUserRolesByUsername 
(
    @Username  nvarchar(
50)
)
AS
select Roles.RoleName
from Roles
join Users on Users.Username
=@Username
join User_Role on User_Role.UserID
=Users.UserID
where Roles.RoleID
=User_Role.RoleID
GO
   至此,我们就完成了一般性的asp.net窗体验证的功能。

相关文章推荐

asp.net 结合mysql存储过程进行分页代码

终于,算是搞出来了,效率可能不是很好,但是我也觉得不错了。贴代码吧直接:也算是对自己学习mysql的一个记录。 复制代码 代码如下: CREATE PROCEDURE p_pageList ...
  • tt2153
  • tt2153
  • 2016年03月21日 14:44
  • 123

初识ASP.NET MVC窗体验证与权限过滤---1.窗体身份验证

一直不懂如何解决web系统的登录权限控制问题,在最开始的时候,我用了一个很土的方法。用户登录成功后就把用户的身份信息写到一个会话cookie中。这种方法非常的脆弱而且不安全。比如a用户登录后没有退出功...

asp.net Jquery后台数据传到前台js进行解析

我们经常用jquery读取后台数据,后台返回数据。后台数据格式就有很多了,但是js里面没有什么类型之分。所以在解析后台数据的时候,我们需要根据后台的数据情况,特殊处理和对待。我这里后台用的是asp.n...

asp.net获取session进行简单的用户登录验证。

.net 获取session 用于简单的用户登录验证。
  • hoho_12
  • hoho_12
  • 2016年03月31日 12:02
  • 5502

ASP.NET利用Ajax进行前后台值传递

由于项目需要,最近涉及到许多网站页面前后台值传递问题,在这里做一个小总结,今天主要对Ajax传递数据做一个最简单的应用实例。         之前一直没有用过Ajax,许多时候看到这个词我都是抵触的,...

从 ASP .NET 进行 Active Directory 域服务身份验证

从 ASP .NET 进行 Active Directory 域服务身份验证 本主题说明 ASP.NET 应用程序如何使用 Forms 身份验证来允许用户使用轻型目录访问协议 (LDAP) ...
  • joeweng
  • joeweng
  • 2012年04月10日 12:45
  • 696

asp.net 中数据传递时为何进行编码以及乱码错误

今天在做一个绕过前台页面,直接向对方服务器post数据请求的模块。照例是先在对方网站上发一个真实的post请求,利用抓包工具获取post请求以及网站相应的数据。可抓包工具捕捉到的数据竟是编码之后的数据...

ASP.NET MVC3书店--第六节 使用注解来进行数据验证

在我们目前的添加书籍视图与编辑书籍视图中还有个问题:没有对提交的数据进行任何有效性验证。用户可以在该视图的文本框中不填入任何内容而直接将数据提交到后台,或者在单价文本框中填入任何文字内容。     ...

asp.net用datalist进行分页

前台代码: 这个是前台代码:必须要先设计号界面 ...

asp.net中对url进行重写

通常我们在浏览器中输入一个url,当返回结果时地址栏的url改变了.例如cnblogs,输入http://huankfy.cnblogs.com,结果反馈回来后地址为http://www.cnblog...
  • wyh0318
  • wyh0318
  • 2012年03月29日 09:31
  • 230
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:关于进行Asp.net窗体验证的过程说明
举报原因:
原因补充:

(最多只允许输入30个字)