.Net Membership介绍

       在 ASP.NET 应用程序中，经常会用到创建用户名（注册），登录验证，权限管理等每次开发都必须做的事情，为了解决这一问题，微软在.Net 2.0提供了成员管理(MemberShip)这一API。Membership 类用于验证用户凭据并管理用户设置（如密码和电子邮件地址）。Membership 类可以独自使用，或者与 FormsAuthentication 一起使用以创建一个完整的 Web 应用程序或网站的用户身份验证系统。

      在这里我们把MemberShip所使用的数据库创建在MS SQLSERVER服务中（不是EXPRESS），我们需要在开始，运行对话框中输入以下文字：C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727/aspnet_regsql.exe,根据提示，创建数据库。

     OK，数据库创建完成。接下来新建一个web应用程序，我们需要对Webconfig文件进行配置。

     在<system.web>节点下，创建membership和roleManager节点，具体如下:

       <membership> <providers> <clear/> <add name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider" connectionStringName="wish" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="false" applicationName="/" requiresUniqueEmail="false" passwordFormat="Hashed" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="6" minRequiredNonalphanumericCharacters="0" passwordAttemptWindow="10" passwordStrengthRegularExpression=""/> </providers> </membership> <roleManager enabled="true" cacheRolesInCookie="true"> <providers> <clear/> <add connectionStringName="wish" applicationName="/" name="AspNetSqlRoleProvider" type="System.Web.Security.SqlRoleProvider"/> </providers> </roleManager> 

       下面是主要的几个属性的含义:

    name：数据提供程序的名称，由于我们是从machine.config复制过来的，所以必须改名，防止重名

    type：数据提供程序类型,如果使用的是MSSQL数据库,则保持不变即可，如果使用的是Oracle等其他数据库，则必须自己创建一个类来继承MembershipProvider抽象基类，重写里边的所有抽象方法，然后把类型写在这里即可。

    connectionStringName：该属性必须指定在<connectionStrings>节点中,一个连接字符串的名字。

    applicationName：应用程序名称，membership允许多个应用程序共同使用一个数据库来管理自己的用户、角色信息，各应用程序只需配置不同的applicationName即可，当然，如果想要多个应用程序使用同一份用户角色信息，只需设置一样的applicationName即可。

    userIsOnlineTimeWindow：指定用户在最近一次活动的日期/时间戳之后被视为联机的分钟数。

    hashAlgorithmType：用于哈希密码的算法的标识符，或为空以使用默认哈希算法。

    enablePasswordRetrieval：指示当前成员资格提供程序是否配置为允许用户检索其密码。

    enablePasswordReset：指示当前成员资格提供程序是否配置为允许用户重置其密码。 

    requiresQuestionAndAnswer：指示默认成员资格提供程序是否要求用户在进行密码重置和检索时回答密码提示问题。

    requiresUniqueEmail：顾名思义，用户注册时，是否需要提供未注册过的邮箱。

    passwordFormat：密码存储格式，密码保存在数据库中的格式，最常用的有Clear（不加密）和Hashed（使用SHA1算法加密）

    minRequiredPasswordLength：最小密码长度。

    minRequiredNonalphanumericCharacters：指定有效密码中必须包含的特殊字符的最小数量，就是说不是字母也不是数字的字符的数量，比如+-*/,.什么的，增加密码强度

    passwordAttemptWindow：在锁定成员资格用户之前允许的最大无效密码或无效密码提示问题答案尝试次数的分钟数。这是为了 防止不明来源反复尝试来猜测成员资格用户的密码或密码提示问题答案的额外措施。

    passwordStrengthRegularExpression：计算密码的正则表达式。

OK，配置完成。

接下来我们需要创建两种角色，一个是admin,一个是employee。

最简单的方法:

在某个Page_Load的事件里写下以下代码(命名空间using System.Web.Security;)，并且运行该页面.

protected void Page_Load(object sender, EventArgs e) { Roles.CreateRole("admin"); Roles.CreateRole("employee"); }

运行完成，我们就添加了两种角色，可以在数据库的aspnet_Roles表中看到。

接下来我们需要注册用户，我们可以使用CreateUserWizard控件，拖拽一个到页面中就OK了。

或者你可以自己拖拽几个文本框，自己写代码，具体代码是这样的。

protected void btnReg_Click(object sender, EventArgs e) { //用户名是否存在 if (Membership.FindUsersByName(txtUserName.Text).Count ==0) { //创建用户 Membership.CreateUser(txtUserName.Text, txtPwd.Text, txtEmail.Text); //加入角色中 Roles.AddUserToRole(txtUserName.Text, "employee"); //跳转到welcome页面，此处需要配置webconfi下的authentication节点 //<authentication mode="Forms" > // <forms defaultUrl="welcome.aspx" name="login" loginUrl="login.aspx" /> //</authentication> FormsAuthentication.RedirectFromLoginPage(txtUserName.Text, false); } }

用户创建完成以后，我们在网站中创建如admin和employee文件夹，并在各个中添加一个aspx页面:

下面就可以进行权限的配置了，具体配置如下,在根节点下添加。

<location path="admin"> <system.web> <authorization> <allow roles="admin"/> <deny users="*"/> </authorization> </system.web> </location> <location path="employee"> <system.web> <authorization> <allow roles="employee"/> <deny users="*"/> </authorization> </system.web> </location> 

说明:

allow:允许的角色

deny:拒绝的角色，*代表所有用户，？代表匿名用户。

path:可以对应具体的文件夹，也可以对应某一个文件，如path="admin.aspx";

OK，直接浏览admin或者employee下的文件，会发现会自动跳到我们在authentication节点下配置的Login页面，然后用我们刚才注册的登录，发现只能进入employee文件夹，admin即使登录也会跳转回来。

MemberShip提供了许多的API接口，我们打开数据库找到MemberShip的存储过程，发现很多存储过程的名称和我们的方法名相同，其实MemberShip的奥秘就在此，更多的方法详情可以查找MSDN，这里只是做权限的一个配置管理。