ASP.NET基于表单的验证实现网上安全访问,管理

最新推荐文章于 2020-08-11 15:20:42 发布
最新推荐文章于 2020-08-11 15:20:42 发布
阅读量1.1k 收藏
点赞数
分类专栏: ASP.NET 文章标签: asp.net authorization forms authentication url asp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/icebery/article/details/177987
版权

 

最近阅读了Wrax版的《ASP.NET安全性高级编程》,里面涉及了基于Forms的验证,发现自己有很多误解,于是决定对《ASP.NET基于表单的验证实现网上安全访问,管理》一文补充与更正.

文件目录为:

 +BIN
 +Admin
    -index.aspx
    - test.aspx
    - *.aspx
    - web.config //Admin文件夹下的web.config
 login.aspx
 web.config //根目录的web.config
 index.aspx 

 

(-)看看FormsAuthentication的重要方法以及属性(更多search MSDN)

FormsCookieName
 返回用于当前应用程序的已配置 Cookie 名称。
GetAuthCookie
 为给定的用户名创建身份验证 Cookie。这不会将 Cookie 设置为传出响应的一部分,因此应用程序对如何发出该 Cookie 有更多的控制权限。
Authenticate
 给定所提供的凭据,尝试根据包含在已配置凭据存储区中的凭据对凭据进行验证。
GetRedirectUrl
 返回导致重定向到登录页的原始请求的重定向 URL。
HashPasswordForStoringInConfigFile
 给定标识哈希类型的密码和字符串,该例程产生一个适合存储在配置文件中的哈希密码。
RedirectFromLoginPage
 将已验证身份的用户重定向回最初请求的 URL。
{=========
备注
RedirectFromLoginPage 方法重定向到在查询字符串中指定的返回 URL 键。例如,在 URL http://www.contoso.com/login.aspx?ReturnUrl=caller.aspx 中,caller.aspx 是 RedirectFromLoginPage 所重定向到的返回 URL。如果返回键不存在,则 RedirectFromLoginPage 将重定向到 Default.aspx。
    =========}
SetAuthCookie
 创建身份验证票并将其附加到 Cookie 的传出响应的集合。它不执行重定向。
SignOut
 移除身份验证票.

(二)让我们一步一步彻底明白页面是怎样验证的

再次说明我们验证的目的:
 Admin文件夹是管理员进行后台管理的"专区",只有通过login.aspx登陆验证后才能进入Admin文件夹里面访问里面的所有页面,所有,我们必须通过填写login.aspx的表单来验证用户是否是管理员.

(1) 假设我们在根目录的index.aspx设置一个连接<a href=login.aspx>管理员登陆</a>,管理员可以通过这个连接,访问login.aspx进行填写表单.这里出现了一个奇妙的思维定势的问题,我们习惯这个"管理员登陆"连接来连接到login.aspx,其实在这里,我们错了,应该"直接"连接到Admin文件夹(或者里面的任何页面),有人问:"这岂不是普通访问者也可以通过这个连接直接连接到了Admin的页面了吗?",我说:"对!,这就是基于表单验证的美妙之处,不用担心这个问题,看看我们的2个web.config就明白了!".

看看Admin文件夹里面的web.config

< configuration >
  < system .web >
   < authorization >
    < deny  users ="?"   />
   </ authorization >
  </ system.web >
</ configuration >


有一个<deny users="?"/>,就是说没有通过验证的匿名用户绝对禁止访问这个文件夹-Admin.
那么,如果匿名用户真的这样做了(试图连接Admin文件夹里面的页面)会怎样呢?哈哈,会定向到login.aspx页面的,看看根目录的web.config

< configuration >
  < system .web >
   < authentication  mode ="Forms" >
    < forms  name ="mycookiename"  loginUrl ="login.aspx"  protection ="All"  timeout ="30" >
    </ forms >
   </ authentication >
   < authorization >
    < allow  users ="*" />
   </ authorization >
  </ system.web >
</ configuration >


根目录的web.config设置了验证方式,以及相应的处理情况.
<authentication mode="Forms">来设置了验证方式mode="Forms";
<forms name="mycookiename" loginUrl="login.aspx" protection="All" timeout="30"/>
看到了loginurl="login.aspx"了吗?就是说,如果匿名用户试图连接受保护的页面(Admin文件夹),则定向到login.aspx,来让这个匿名用户登陆!

(2)我们点击了那个"管理员登陆"链接,来到了login.aspx.此时你会发现,URL地址其实是:login.asxp?ReturnUrl=admin/index.asp(其实就是我们所请求的页面),如果我们在login.asxp通过了验证,那么,页面会自动跳转到那个ReturnUrl.

看看login.axp:

< asp:textbox  id =textname  runat =server/>帐号
 <asp:textpassword id =textpassword  runat =server>密码
 <asp:checkbox id =mycheckbox  runat =server/>是否记住密码,永久登陆
 <asp:button runat =server  onclick =btnloginclick  text =登陆/>


处理事件1(当用户点击登陆按钮时候)

void  btnloginclick(Object sender,EventArgs e)
 {
 if(用户通过验证)//这一点可以在bin目录放置自己的dll文件来验证用户,返回一个bool.
 {
 FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked);
 }
}

1,FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked);的作用:
->设置一个验证Cookie,说明用户已经通过验证.
->返回刚才您所请求的页面(Admin/index.aspx);
2,这句话相当于这两句:
FormsAuthentication.SetAuthCookie(UserName.Text,mycheckbox.Checked);
Response.Redirect(FormsAuthentication.GetRedirectUrl(UserName.Text,mycheckbox.Checked);
3,如果mycheckboxt控件已经选择,则,写入cookie,保存50年,当然,我们可以更改这个时间:
处理事件1(当用户点击登陆按钮时候)

void  btnloginclick(Object sender,EventArgs e)
 {
 if(用户通过验证)//这一点可以在bin目录放置自己的dll文件来验证用户,返回一个bool.
 {
 HttpCookie authenticationCookie=FormsAuthentication.GetAuthcookie(UserName.Text,mycheckbox.Checked);
 authenticationCookie.Expires=DateTime.Now.AddDays(3);//3天
 Response.Cookies.Add(authenticationCookie);
 
 Response.Redirect(FormsAuthentication.GetRedirectUrl(UserName.Text,mycheckbox.Checked);
}


4,这里有个bug,我不知道为什么会这样,我们这样:
处理事件1(当用户点击登陆按钮时候)

void  btnloginclick(Object sender,EventArgs e)
 {
 if(用户通过验证)//这一点可以在bin目录放置自己的dll文件来验证用户,返回一个bool.
 {
 FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked);
 Response.Redirect("http://www.QuickResponser.com");
 }
}


会怎样呢?按理说应该执行FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked);
然后跳转到请求的页面admin/index.aspx.
可是,我在实际试验过程中,发现页面执行了Response.Redirect("http://www.QuickResponser.com");
oh,mygod!!!!,郁闷(谁给我个正确的解释呢?QQ:154222225 Mail:root@3ney.com);
5,我们的链接不要涉及到直接连接到login.aspx,为什么?假设我们直接登陆login.asxp,那么这个URL就没有参数ReturnUrl,但是,默认是Default.aspx(或者index.axp....),当管理员通过验证时候,页面不是直接跳转到根目录的默认页面index.aspx.
(如果直接连接的话,也是可以的,利用上面的bug解决)

参考:
1,《ASP.NET高级编程》--Wrax
2,《ASP.NET安全性高级编程》--Wrax
=============================
废话很多,希望大家能看明白.
基于表单的验证涉及的其他问题:
1,无Cookie的验证
2,验证数据的存储方式
3,基于角色的表单验证

icebery
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net Mvc表单验证气泡提示效果
01-03
本文实例为大家分享了Asp.net Mvc表单验证的制作代码,供大家参考,具体内容如下 将ASP.NET MVC或ASP.NET Core MVC的表单验证改成气泡提示: //新建一个js文件(如:jquery.validate.Bubble.js),在所有要验证的页面...
ASP.NET MVC中基于角色的权限控制管理(RBAC)
一个九零后程序猿开发日志
03-29 1051
用户登录后,可以根据用户ID获取用户所属的角色,从而获取用户的权限。在Action过滤器中,根据用户的角色和权限表,判断用户是否有访问该Action的权限。管理员可以通过角色管理和权限管理界面,对角色和权限进行添加、删除、修改等操作。在添加用户时,管理员可以为用户分配角色,从而授权用户访问对应的权限。在数据库中创建角色表和权限表,用于存储角色和权限信息。角色表至少包含角色ID和角色名称两个字段,权限表至少包含权限ID和权限名称两个字段。在数据库中创建角色权限表,用于存储角色和权限的关系。
ASP.Net实现用户权限管理
muzizongheng的专栏
07-10 3110
一、 ASP.Net提供对于权限安全提供的技术Authentication验证)         MembershipProvider (用保存的信息验证用户是 谁)Authorization(授权)            RoleProvider (实现用户和角色的映射,允许用户 可以做什么 )二、 Membership Service介绍Membership公开了大部分的Membership
ASP.NET基于表单验证实现网上安全访问,管理(2)
weixin_34239169的博客
07-11 96
补充: 12:39 2004-7-11 最近阅读了Wrax版的《ASP.NET安全性高级编程》,里面涉及了基于Forms验证,发现自己有很多误解,于是决定对《ASP.NET基于表单验证实现网上安全访问,管理》一文补充与更正. 文件目录为:  +BIN +Admin    -index.aspx    - test.aspx    - *.aspx    - web.config //...
关于Form验证
记事本
07-18 2285
Learn how forms authentication works in ASP.NET version 2.0.Understand how forms authentication configuration affects the generation of the forms authentication ticket.See what's stored in a forms aut
彻底解决Forms验证角色(roles)问题
BlaCJar的专栏
06-04 1842
这个问题是我在做项目的时候遇到的,因为以前都是用seesion来处理类似的问题,但是有朋友说用Forms可以减少很多代码,由于技术有限,研究了很久,工夫不负有心人,在csdn多位大大的帮助下,特别是[only_endure]大人的细心+耐心的回答才得以有今天的文章,真是感动啊~闲话就说到此为止,我们知道windows自带的有四种认证方式,是不是四种呢?去baidu下,我们今天只讲关于Form的
详解ASP.NET MVC Form表单验证
10-22
主要为大家详细介绍了ASP.NET MVC Form表单验证,一般验证方式有Windows验证表单验证,web项目用得更多的是表单验证,感兴趣的小伙伴们可以参考一下
实例ASP.NET基于表单的角色身份验证
04-22
基于表单的身份验证看上去复杂,但了解原理后则很简单好用,本例是一个简单示例,却能给你解除所有疑惑。
asp.net 表单验证新思路
01-01
简要说明:随机验证某一项或几项。减少验证工作量。 代码如下:public static int IntRound(int Max) { Random r = new Random(); int i = r.Next(0, Max); r = null; return i; } 代码如下: int i=IntRound(8); if ...
如何在 ASP.NET 应用程序中实现模拟用户身份(在ASP.NET中以管理员身份运行网站)...
liuxiaofeng1991的博客
08-11 624
前言 在实际的项目开发中,我们可能会需要调用一些非托管程序,而有些非托管程序需要有更高的身份权限才能正确执行。本文介绍了如何让IIS承载的ASP.NET网站以特定的账户执行,比如Administrator。 概要 本文介绍了在 ASP.NET 应用程序中实现模拟用户身份的不同方式。 更多信息 如果要在 ASP.NET 中的线程上模拟用户,可以根据您的要求使用以下方法之一: 模拟 IIS ...
程序权限控制
weixin_30681615的博客
08-19 141
ms升级了之后,有些时候程序无法操作系统盘的内容,因为权限不够。XP下也会存在这些问题,但因为XP系统默认权限设置没有WIN 7 和WIN 8 那么严格,所以很少遇到因为权限问题导致程序运行失败的情况。以下代码是表示如何获得管理员权限运行程序。 staticvoidMain(string[]Args) { /** *当前用户管理员的时候,直接启动应用程序 *如果不是管...
ASP.NET程序安全性(三) 表单提交、过滤用户输入
weixin_33895604的博客
10-11 211
1、边界检查,使用验证控件, 2、模式匹配,使用正则表达式,转义数据, 3、数据编码,防止恶意的输入html或脚本等内容 4、参数化,SqlParameters防止SQL注入 5、异常处理 本文转自chy710博客园博客,原文链接:http://www.cnblogs.com/chy710/archive/2007/01/01/609580.htm...
ASP.NET 管理员登录
Sam.yu的专栏
03-27 5074
本节我们将完成管理员的登录和注销,这里要学习一个重要的知识点“会话(Session)”。因为HTTP协议是无状态非持续连接的协议,它没有办法识别客户端,也无法记住客户端的状态,所以需要使用额外的手段——会话Session,来记录客户端的状态。客户端每次访问服务器,服务器都会给它分配一个唯一的Session ID,来标示这个连接。如果客户端没有关闭连接,继续访问服务器的话,那它的的ID就没有变,服务
asp.net 表单认证
最新发布
06-07
ASP.NET 表单认证是一种常见的身份验证方法,它基于表单和 cookie 实现。以下是 ASP.NET 表单认证的实现步骤: 1. 配置认证:在 Web.config 文件中配置认证方式。可以选择 Forms、Windows、Passport、None 等认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值