ASP.NET安全问题--Forms验证(后篇)--实战篇

最新推荐文章于 2018-04-12 19:55:02 发布
最新推荐文章于 2018-04-12 19:55:02 发布
阅读量434 收藏
点赞数
分类专栏: ASP.NET技术
 验证流程讲述

       我们首先假设一个场景:用户现在已经打开了我们的首页Default.aspx,但是有些资源只能是登录用户才可以看到的,那么如果这个用户想要查看这些资源,那么他就要登录。而且这个用户已经有了一个帐号。(我们本篇主要的话题是身份验证,至于创建用户账户是怎么创建的,我们不关心,方法很多,如直接一个数据库插入就行了!)
 
       我们现在就把我们的一些流程说下:
       1.用户登录,在输入框中输入用户名和密码信息
       2.点击登录按钮后,到数据库中查询该用户是否存在
       3 如果存在,服务器端代码就创建一个身份验证的票据,保存在cookie中,然后发送到客户端的浏览器
       4.用户已经有了验证的cookie,那么就页面就跳转到用户之前请求的页面
 
 

       数据库准备

       那么下面我们就开始详细讲述:
       首先,我们我们肯定要先得创建一个数据库,我们就取名为Login表,创建一个用户信息表,我们在在表中建立三个字段UserName,UserPassword,UserRole(大家可以创建更多字段,我这里只是演示,大家可以扩展的).  至于表中的数据,大家自己随便插入几条!
 
       代码编写
       因为我们常常要验证用户,所以我们把验证用户的代码写成一个方法放在App_Code目录下的Helpers.cs类中
       代码如下:


public static bool ValidateUser(string username, string password)
{
 
      然后我们就创建一个登录的页面Login.aspx,在页面上面放入两个TextBox,分别用来供用户输入用户名和密码。
      放上一个按钮,用来登录。
      
      回到Helpers.cs中,我再添加一个方法,来获取用户的角色:
      

public static string  GetRoleForUser(string username )
{
        //创建链接
    SqlConnection con = new SqlConnection();
    con.ConnectionString =
        ConfigurationManager.ConnectionStrings[“MyConnectionString”].ConnectionString;

    SqlCommand com = new SqlCommand();
    com.Connection = con;

        //执行命令
    com.CommandText = “Select UseRole m Users Where Username=@Username;
    com.Parameters.AddWithValue(“@Username”, username);
         
    con.Open();

        //返回结果
    string userRole= (string)com.ExecuteScalar();


    con.Close();
         
}
      
 
      为了启动Forms验证,我们还得到web.config文件中配置,如下:
      
< authentication  mode =”Forms”>
     <forms name =”.mycookie”  path =”/”  loginUrl =”Login.aspx”  protection =”All”
 timeout =”40”  />
</ authentication >
 
      并且不允许匿名用户访问我们的网站 :
 
 
< authorization >
   < deny  users =”?”/>
 </authorization >
 
      然后我们就开始在Login.aspx的登录按钮下面写代码了:
 
       基本思想如下:
       1.验证用户是否存在,
       2.如果存在,同时获取用户的角色
       3.创建身份验证票据和cookie,并且发送到客户端的浏览器中
      
     代码都加了注释,通过之前的基础,相信大家可以对下面的代码没有问题。
 

Code
protected void LoginCallback(object sender, EventArgs e)
{
    if (Helpers.ValidateUser(UserName.Text, Password.Text))
    {
                //获取用户的角色
        string     rolenames = Helpers.GetRolesForUser(UserName.Text);
    
                //创建身份验证票据
        FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
                UserName.Text, DateTime.Now, DateTime.Now.AddSeconds(40), false, roles);

                //加密票据
        string encryptedTicket = FormsAuthentication.Encrypt(ticket);

                //创建新的cookie
        HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName);
               
                //把加密后的票据信息放入cookie
        cookie.Value = encryptedTicket;

                //把cookie添加到响应流中
        Response.Cookies.Add(cookie);

                //把cookie发送到客户端
        Response.Redirect(FormsAuthentication.GetRedirectUrl(UserName.Text,false),true);

    }
}
 
      
      好了,现在如果我们正确的输入用户名和密码,那么我们的浏览器中就有了身份验证的cookie了,现在我们的页面就要马上从原来的Login.aspx转向到Default.aspx页面了,我们现在把这个转向的过程在头脑中把它慢速化,因为我们要分析这个过程。

       在Login.aspx转向到Default.aspx页面跳转的过程中,其实我们在请求Default.aspx页面,这个我们之前请求的过程没有任何的区别,也是一样要经历ASP.NET的一些生命周期,但是这次我们的浏览器中已经有了身份验证的cookie,ASP.NET运行时在处理,在处理Application_AuthenticateRequest事件时就要解析我们的cookie了。其实在之前我们登录之前,在这个事件代码中也解析了cookie的,只是那时候没有找到cookie而以。

       Application_AuthenticateRequest事件的代码中,其实就是解析cookie,然后把用户的身份标识,并且把用户的身份信息保存起来:
 
 

Code
Code
void Application_AuthenticateRequest(object sender, EventArgs e)
{
    HttpApplication app = (HttpApplication)sender;

        //获取身份验证的cookie
    HttpCookie cookie = Request.Cookies[FormsAuthentication.FormsCookieName];

    if (cookie != null)
    {
        string encryptedTicket = cookie.Value;

                //解密cookie中的票据信息
        FormsAuthenticationTicket ticket =
            FormsAuthentication.Decrypt(encryptedTicket);

                //获取用户角色信息
        string[] roles = new string[]{ticket.UserData.toString()};

               //创建用户标识
        FormsIdentity identity = new FormsIdentity(ticket);

                //创建用户的主体信息
        System.Security.Principal.GenericPrincipal user =
        new System.Security.Principal.GenericPrincipal(identity, roles);
        app.Context.User = user;
    }
}
 
      我们看到最后一行代码: app.Context.User = user;,把用户的身份以及角色信息保存在了User属性中。
 
      我们就可以在页面中通过如下方法判断用户是否登录了:
      
  if  (Page.User.Identity.IsAuthenticated)
  {
                         //
  }
 
      用下面的方法判断用户是否属于某个角色:
      
if  (Page.User.IsInRole( " Admin " )
{
      //
}
 
      其实这个我们之前讲过了的Identity,IPrincipal概念有关,不清楚的可以看看之前的文章!
       
      代码到这里,今天也写完了,有关身份验证的问题就要讲完了,还差一个问题没有讲述: 自定义身份验证以及开发自定义的HttpModule.
      之后的的文章将讲述 授权的问题。
huangwenhua5000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET安全验证
嗳夏晨网络智能化
04-12 182
一.安全的必要性1.构造特殊的链接地址,导致文件内的数据泄露;2.数据库泄露;3.安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全是关键。二.ASP.NET安全模式1,根据所请求资源的类型,IIS能够自己处理请求,也可以不自己处理请求;2,如果资源请求一个ASP页面,则IIS将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给ASP.NET,接下来发生的事情就取决与...
关于.net网站的安全问题以及解决方案的分析
wujiaolong的专栏
08-13 3437
在面试的时候当面试官问道:“你知道怎么提高网站的安全性吗?”这个问题时,我总是回答的不够完整,所以今天我浏览了各大高手的博客,以及通过看书稍微总结一下,也许还是不完整,希望这方面高手也能出来指点一二。 首先探讨一下,什么是网站的安全性? 就网站而言,因为网站的定义有许多种,所以各种关于网站安全的定义也不同。有的定义为:网站安全就是保护网上保存的数据和流动的数据,不被别人偷看、窃取或者修改。也有
ASP.NET 安全验证
景泽元的编程博客
04-12 535
一、ASP.NET 支持的四种验证方式1.Windows: IIS验证,在内联网环境中非常重要。2.Passport: 微软集中式验证,一次登录便可访问所有成员站点,需要收费。3.Form:窗体验证验证帐号/密码,Web编程最佳最流行的验证方式。4.None:表示ASP.NET自己根本不执行身份验证,完全依赖IIS身份验证。二、Forms元素的属性三、使用1.创建几个页面2.配置文件 3.登录-...
走向ASP.NET架构设计—第四章—业务层分层架构(后篇
02-21
前言:在上一篇文章中,我们讨论了组织业务逻辑的模式:TransactionScript和ActiveRecord,DomainModel。在本篇中开始讲述AnemicModel。 今天的内容比较简单,也是本章的一个收尾! AnemicDomainModel: 这种模式...
构建高性能ASP.NET站点(上)
03-01
构建高性能ASP.NET站点开篇构建高性能ASP.NET站点之一剖析页面的处理过程...后篇)构建高性能ASP.NET站点第六章—性能瓶颈诊断与初步调优(上篇)—识别性能瓶颈构建高性能ASP.NET站点第六章—性能瓶颈诊断与初步调优...
构建高性能ASP.NET站点(下)
02-25
构建高性能ASP.NET站点第六章—性能瓶颈诊断与初步调优(上篇)—识别...后篇)—减少不必要的请求构建高性能ASP.NET站点第七章如何解决内存的问题(前篇)—托管资源优化—垃圾回收机制深度剖析构建高性能ASP.NET站点...
Form authentication(表单认证)问题
weixin_33816946的博客
05-11 541
前言 最近在做ASP.NET MVC中表单认证时出了一些问题,特此记录。 问题 进行表单认证时,在 PostAuthenticateRequest 事件中从Cookie值中解密票据。如下: protected void Application_PostAuthenticateRequest(Object sender, EventArgs e) { ...
asp.net窗体验证123
weixin_33835103的博客
06-08 162
ASP.NET几种安全验证方法 如何运用 Form 表单认证 ASP.NET安全认证,共有“Windows”“Form”“Passport”“None”四种验证模式。“Windows”与“None”没有起到保护的作用,不推荐使用;“Passport”我又没用过,唉……所以我只好讲讲“Form”认证了。我打算分三部分: 第一部分 —— 怎样实现From 认证; 第二部分 —— Form 认证的...
FormsAuthentication知多少
aa781398079的博客
09-18 272
前述:对于FormsAuthentication相信大家都烂熟于胸了,这里只是做一下小结。 一、先看一下使用FormsAuthentication做登录认证的用法 用法一: FormsAuthentication.SetAuthCookie(username, isPersistent); 用法二: FormsAuthenticationTicket ticket...
ASP.NET安全问题--ASP.NET生命周期中的验证以及身份验证模块
DULADU
07-11 377
<br /> <br />本篇主要一下话题:<br />  1.ASP.NET运行的生命周期的验证<br />  2.身份验证模块<br />  3.授权模块  <br />  1.ASP.NET运行的生命周期的验证<br />  其实在ASP.NET中每一个请求都进行了验证和授权的。进行验证和授权 的过程实际上是通过触发相应的事件来完成的。<br />  在讲述验证事件之前,首先清晰一个流程:ASP.NET运行时接到一个请求的处理的流程。<br />   先把流程描述一下,使得大家有个总体把握:一个
如何运用 Form 表单认证
lxs5i5j的专栏
01-25 796
ASP.NET安全认证,共有“Windows”“Form”“Passport”“None”四种验证模式。“Windows”与“None”没有起到保护的作用,不推荐使用;“Passport”我又没用过,唉……所以我只好讲讲“Form”认证了。我打算分三部分: 第一部分 —— 怎样实现From 认证; 第二部分 —— Form 认证的实战运用; 第三部分 —— 实现单点登录(Singl
FormsAuthentication使用指南
热门推荐
我的专栏
11-20 2万+
配置安全鉴别 鉴别是指鉴定来访用户是否合法的过程。ASP.NET Framework支持三种鉴别类型: Windows鉴别; NET Passport鉴别; Forms鉴别。 对于某一特定的应用程序,同一时刻只能启用其中一种鉴别方式。例如,不能在同一时刻同时启用Windows鉴别和Forms鉴别。 在默认情况下,系统将启用Windows鉴别。当Windows鉴别启用后,用户通过微软Wi
登录验证FormsAuthentication
PAPALIAN的专栏
01-16 1281
FormsAuthentication FormsAuthentication 成员 FormsAuthentication 构造函数 初始化 FormsAuthentication 类的新实例。 公共属性 FormsCookieName 返回用于当前应用程序的已配置 Cookie 名称。 FormsCookiePath
曲线积分于曲面积分(后篇 曲面积分-坐标曲面积分-高斯公式-斯托克斯公式)
最新发布
06-13
好的,我会尽力回答你的问题。 曲线积分和曲面积分都是数学中的重要概念,常用于物理、工程等领域的计算和分析。 首先,让我们来了解一下曲线积分。 曲线积分是沿着一条曲线对某个向量场进行积分的过程。具体来说...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值