身份验证(表单验证),Cookies及对称加密(ASP.net-1.1)

最新推荐文章于 2024-03-29 16:43:07 发布
最新推荐文章于 2024-03-29 16:43:07 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: asp.net技巧 文章标签: cookies 加密 string authentication byte 解密
份验证(表单验证),Cookies及对称加密(ASP.net-1.1)

一、身份验证的三种模式:
   ASP.net下的身份验证模式有大致有三种,一是windows验证,就是每一个来访都都要求有一个windows帐号,这种验证是最安全的,但也是最昂贵的,因为你得为每一个来访用户添加一个windows帐号。这对于一些中小型网站,确切的说是没有自己独立的服务器的B/S模式应该程序来说,都是不可能的事。

第二种方案是用MS的Passpost验证,这种验证是MS提供的一种集中式身份验证,如果用户启用了Passport身份验证的网站上登录,他就被自动转移到passport网站,在输入用户名和口令之后,再被转移回来。这种方案的好外是你不用管理用户名和帐号了,MS都帮你做了。然而,它的部署有些麻烦,而且使用验证时,也比较麻烦,要来回进行部署。你可以到 www.passport.com或者在MS的网站上查找相关信息。

第三种方案就是我今天要重点说明的,表单验证模式。

二、表单验证:
你可以在web.config中启动表单验证。
     < authentication  mode ="Forms" >  
           < forms  loginUrl ="login.aspx"  protection ="None"  name ="WebbUser"  path ="/" />         
     </ authentication >

详细的说明可以在MSDN里查找authentication。添加完认证后,就是做一个登录页而,让用户取得认证。在DotNet下,已经很好的集成了认证票据的生成模式。认证票据其实就是一个加密了的Cookies,后面我将说明如何自己定义票据,及自己定义加密的Cookies来做自己的票据类。

当取得用户的登录名与密码后(一般是从数据库里查询并验证),如果用户是合法的,那么就应该给用户设置一个认证的票据:

FormsAuthentication.RedirectFromLoginPage();

上面的方法给用户添加一个认证并返回访问的页面上去。从此,用户的机器上就多了一个Cookies了,这个Cookies就是用户认证的信息,当然它是经加密了的。这样,用户就可以访问要求身份验证的页面了,因为这时候,用户的所用访问都将带着这个Cookies来提交了。

我们可以从Form的User的实例上取得用户的验证信息,它其实是FormsIdentity的一个实例:

         private   void  Page_Load( object  sender, System.EventArgs e)
         {
             //  Put user code to initialize the page here
            Response.Write( this .User.Identity.AuthenticationType + " <br> " );
            Response.Write( this .User.Identity.IsAuthenticated + " <br> " );
            Response.Write( this .User.Identity.Name + " <br> " );                
        }

以上代码输出经过验证后的用户信息。我们可以自己返回验证的票据:

         private   void  Page_Load( object  sender, System.EventArgs e)
         {
             //  Put user code to initialize the page here
            FormsIdentity m_identity             =   this .User.Identity  as  FormsIdentity;
            FormsAuthenticationTicket m_ticket     =  m_identity.Ticket;
            Response.Write(m_ticket.CookiePath + " <br/> " );
            Response.Write(m_ticket.Expiration.ToString() + " <br/> " );
            Response.Write(m_ticket.Expired + " <br/> " );
            Response.Write(m_ticket.IsPersistent + " <br/> " );
            Response.Write(m_ticket.IssueDate + " <br/> " );
            Response.Write(m_ticket.Name + " <br/> " );
            Response.Write(m_ticket.UserData + " <br/> " );
            Response.Write(m_ticket.Version + " <br/> " );
        }

注意上面的UserData,如果你用的是FormsAuthentication.RedirectFromLoginPage();那么它是一个空的字符串。当然我们可自己定义这里面的数据,它是一个任意长度的字符串(当然,可能会受到Cookies大小的限制)。

三、自定义验证票据:

在登录页面上,我们可以自己定义一个票据,然后添加到用户的Cookies里,一样起到表单验证的效果:

         public   virtual    void  Login( bool  i_autoLogin)
         {
             string  m_userData     =   this .m_userID.ToString() + " , " + this .m_loginName + " , " + this .m_userType.ToString();
            FormsAuthenticationTicket ticket  =   new  FormsAuthenticationTicket(
                 1 ,
                 " WebbUser " ,
                System.DateTime.Now,
                System.DateTime.Now.AddDays( 30 ),
                i_autoLogin,
                m_userData,
                 " /WAVE/ " );
             string  encTicket  =  FormsAuthentication.Encrypt(ticket);
            HttpContext.Current.Response.Cookies.Add( new  HttpCookie( " WebbUser " , encTicket));
             //
             HttpCookie m_cookie     =   new  HttpCookie( " WebbExpires " );
            m_cookie.Value         =  m_userData;
            m_cookie.Expires     =  System.DateTime.Now.AddDays( 30 );
            HttpContext.Current.Response.Cookies.Set(m_cookie);
        }

这里,我给UserData添加了一个形式如:"UserID|UserName|UserType"的字符串数据!这样,我们就可以在用户通过认证后,从用户的Identity票据里取得这些信息,当然再加工一下就可以成为有用的信息了。这里的string encTicket = FormsAuthentication.Encrypt(ticket);是一个加密过程,当然如果你省掉,那么系统在取加数据时就会出错,因为取回数据时,用到了Decrypt来解密,如果你没有加密,那当然在解密的时候就会出错。

如果自己定义一个Ticket,那么同样的,在用户的机器上也会多了一个Cookies,有兴趣的可以自己用Trace来看一下添加的Cookies,它是一个不等长的加密字符串,但名字是上面我们定义的。

四、自己用Cookies进行验证:
这是一个很灵活的方法,当然,一般没有必要这样进行验证。方法与ASP里用Session的验证差不多,但我们可以创建一个持久的Cookies来进行验证用及角色。
首先还在登录页面上用于添加一个用户认证的Cookies:

         public   virtual    void  Login( long  i_days)
         {            
            HttpCookie m_cookie     =   new  HttpCookie( " WebbUser " );
             string  m_value         =   this .m_loginName + " | " + this .m_userID.ToString() + " | " + this .m_userType.ToString();
 //             m_cookie.Value        = FormsAuthentication.Encrypt(m_value);
            m_cookie.Value         =  m_value;
            m_cookie.Expires     =  DateTime.Now.AddDays(i_days);
            HttpContext.Current.Response.Cookies.Add(m_cookie);
        }

这样看上去更简单,而且我们可以自己对这样的数据进行管理。例如,先做一个所有Form的BasePage,它实现一个WebUser或者WebVisitor类,并为设定为只读属性或者公有成员。在页面初始化的时候,就先读取数据:

         public   void  LoadDataFromCookies()
         {
            HttpCookie m_cookies     =  HttpContext.Current.Request.Cookies[ " WebbUser " ];
             if (m_cookies == null ) return ;
             string [] m_data             =  m_cookies.Value.Split( ' | ' );
             if (m_data.Length < 3 ) return ;
             this .m_loginName         =  m_data[ 0 ];
             this .m_userID             =  Convert.ToInt64(m_data[ 1 ]);
             this .m_userType             =  WebbUser.ConvertStringToUserTypes(m_data[ 2 ]);
        }

当然,这个User类(我们自己定义的,不是Form里的User)是有默认数据,也就是没有认证时候的信息。

之后,我们就可以在所有的子类页面上随时对用户进行认证:

         private   void  Page_Load( object  sender, System.EventArgs e)
         {
             //  Put user code to initialize the page here
             this .CheckVisitorType(Webb.Web.BasePage.WebbUser.UserTypes.Admin);
            Response.Write( this .WebbVisitor.UserType);
            Response.Write( this .WebbVisitor.UserID);
            Response.Write( this .WebbVisitor.LoninName);
        }

当然,上面的CheckVisitorType是自己定义的了。这样,不仅可以完成对用户的认证,还可以对用户的角色进行十分灵活的设置,如果再进一步的细化User类(因为有ID,所以可以在数据库里添加很多详细的信息),就可以完全实现个性化的User了!

五、Cookies的加密:
如系统自己带的票据一样,我们也可以添加一个加密的工作。因为我们不仅要加密,而且还要解密,因此不能采用Hash加密方法(虽然这个方法很好,其中最常用的Hash128位加密,也就是MD5加密在B/S的网站上经常使用)。这里有两个方案可选:对称加密与非对称加密。非对称加密就是分开密钥,这里不作说明,有兴趣的可以参考一些公开密钥的文章,或者一些数字签名的内容。我采用了简单的对称加密对Cookies加密。
.net下有DES-United states data encryption standard,Triple Des(三次DES加密),RC2及Rijndael几种加密算法,每个算法有一个提供类来支持具体的加密与解密工作,可以对文件等进行加密。这里简单的说明介绍一下DES加密。

DES加密要事先提供一个密码:Key及一个初始向量:IV(Initial Vector)来进行初始化,而这个Key及IV都必须是8个字节的数据。
这里简单的实现了一个加密与解密:
using System;
using System.IO;
using System.Web;
using System.Security.Cryptography;
using System.Globalization;
using System.Text;
using System.ComponentModel;

         ///   <summary>
         ///  DES encrypt.
         ///   </summary>
         ///   <param name="i_key"></param>
         ///   <param name="i_IV"></param>
         ///   <param name="i_data"></param>
         ///   <returns></returns>
         public   static   string  Encrypt( string  i_key, string  i_IV, string  i_data)
         {
             byte [] m_keys     =  Encoding.ASCII.GetBytes(i_key);
             byte [] m_IVs     =  Encoding.ASCII.GetBytes(i_IV);
             byte [] m_data     =  Encoding.ASCII.GetBytes(i_data);
            DESCryptoServiceProvider m_DES     =   new  DESCryptoServiceProvider();
            ICryptoTransform m_encrypt         =  m_DES.CreateEncryptor(m_keys,m_IVs);
             byte [] m_result     =  m_encrypt.TransformFinalBlock(m_data, 0 ,m_data.Length);
            m_encrypt.Dispose();
            m_DES.Clear();
             return  BitConverter.ToString(m_result);
        }

         ///   <summary>
         ///  DES descrypt.
         ///   </summary>
         ///   <param name="i_key"> Keys </param>
         ///   <param name="i_IV"> initial vector </param>
         ///   <param name="i_data"> Data </param>
         ///   <returns></returns>
         public   static   string  Decrypt( string  i_key, string  i_IV, string  i_data)
         {
             string [] m_datas     =  i_data.Split( ' - ' );
             byte [] m_values         =   new   byte [m_datas.Length];
            Int32Converter m_i32Converter     =   new  Int32Converter();
             for ( int  i = 0 ;i < m_datas.Length;i ++ )
             {
                m_values[i]         =  Convert.ToByte(m_i32Converter.ConvertFromInvariantString( " 0x " + m_datas[i]).ToString());
            }
             byte [] m_keys     =  Encoding.ASCII.GetBytes(i_key);
             byte [] m_IVs     =  Encoding.ASCII.GetBytes(i_IV);
             byte [] m_data     =  Encoding.ASCII.GetBytes(i_data);
            DESCryptoServiceProvider m_DES     =   new  DESCryptoServiceProvider();
            ICryptoTransform m_encrypt         =  m_DES.CreateDecryptor(m_keys,m_IVs);
             byte [] m_result     =  m_encrypt.TransformFinalBlock(m_values, 0 ,m_values.Length);
             return  Encoding.ASCII.GetString(m_result);            
        }

注意:1、这里的i_key及i_IV都必须是8个字节的,也就是说必须是ASCII的8个字符串,否则在加密及解密中会抛出异常!有了这个加密与解密后,我们就可以对自己定义的Cookies进行加密,然保存在用户的机器上了。
2、这里的Key与IV不仅是初始化算法所必须的,也是解密时所必须的。

六、加密数据溢出问题:
上面已经强调了很多次,KEY及IV都必须是8个字节的,否则出现错误。这对于程序员来说很好理解,但对于用户来说,可就不是什么好事了。如果用少于或者多于8个字节的KEY或者IV来调用加密或者解密函数,都将出现错误。这个可以由程序员来决定,或者将KEY及IV事先就选择好,也就不会有问题了。注意加密与解密所选择的Encoding字符集,不同的字符集得到的结果是不样的。

七、附加MD5密码函数:

         ///   <summary>
         ///  
         ///   </summary>
         ///   <param name="str_inString"></param>
         ///   <returns></returns>
         static   public   string  GetMD5( string  i_data)
         {
             byte [] m_datas     =  Encoding.ASCII.GetBytes(i_data);
            MD5CryptoServiceProvider m_MD5  =   new  MD5CryptoServiceProvider();
             byte [] m_value     =  m_MD5.ComputeHash(m_datas);
             return  BitConverter.ToString(m_value);
        }

总结:其实.net下的表单验证就是一个Cookies,我们不仅可以自己定义验证票据,而且还可以自己模拟验证模式来自己添加Cookies来更加灵活的进行用户身份验证及角色处理。

 

 

http://wucountry.cnblogs.com/archive/2006/03/21/354649.html


 
afei_001
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Form表单身份验证例子
.NET寺庙
02-29 1614
http://topic.csdn.net/t/20050830/10/4239405.html(转)步骤:一直对forms验证中的角色很模糊,不知道怎么搞,昨天晚上仔细看了下csdn的杂志,心里稍微有点底,今天早晨一上csdn,就看到思归大人回的一篇贴,是关于asp.net中的forms验证roles,地址是:http://www.codeproject.com/aspnet/forms
form身份验证
weixin_33994444的博客
02-10 275
asp.net 自带的身份验证,form身份验证。 forms身份验证:身份登录,权限验证,传值。 1.登录:      验证登录是否正确,用FormsAuthentication.setAuthcookie(已验证的用户名称,是否持久)来创建一个验证的票据,用于加密存储用户登录名<Encrypt()函数加密>,存在context.user 中,并更具加密创建一个cookie.   ...
基于表单的身份验证
szg3827的专栏
09-28 1421
15.4  基于表单的身份验证15.4.1  概述如果我们需要为网站创建一套自定义的用户注册系统,那么基于表单的身份验证(下称表单验证)是非常合适的。因此,我们可以使用任何的载体来存储用户名和密码(比如配置文件或者数据库)。表单验证通过cookie来判断用户票据,如果一个没有通过身份验证的用户请求一个页面,那么他会被自动转到登录页面,用户登录后又会转到原来的请求页面。表单验证不负责提供
Form身份验证
gongth_12的专栏
06-14 1860
网站安全模式 使用Windows身份验证 使用Forms身份验证 使用最多,也是最常见的方式 使用PassPort身份验证(收费) 需要MS给接口 Forms身份验证 Web.config                  defaultUrl如果直接打开的就是 登陆地址.aspx 用户名密码输入成功后跳转的页面
详解ASP.NET MVC Form表单验证
10-22
ASP.NET MVC Form表单验证Web开发中一个关键的安全措施,用于确保用户输入的数据符合预设的规则,防止恶意攻击和数据错误。在ASP.NET MVC框架中,表单验证主要涉及客户端验证和服务器端验证两个方面,以确保数据在...
详解ASP.NET七大身份验证方式以及解决方案
10-23
ASP.NET提供了多种身份验证方式,以适应不同的安全需求和环境。本文将详细探讨ASP.NET的七大身份验证方法及其解决方案。 1. **活动目录的客户端证书**:此验证方式主要用于企业环境,依赖于Active Directory,并...
asp.net mvc中Forms身份验证身份验证流程
01-03
1、验证表单:ModelState.IsValid 2、验证用户名和密码:通过查询数据库验证 3、如果用户名和密码正确,则在客户端保存Cookie以保存用户登录状态:SetAuthCookie  1):从数据库中查出用户名和一些必要的信息,并把...
ASP.NET中的身份验证:.NET安全性指导
02-21
IIS作为Web服务器,提供了基础的身份验证服务,而ASP.NET则构建在其之上,通过身份验证提供程序(如表单身份验证、Passport身份验证和Windows身份验证)来增强安全性。表单身份验证允许用户通过HTML表单提交登录信息...
Asp.net Mvc表单验证气泡提示效果
01-03
本文实例为大家分享了Asp.net Mvc表单验证的制作代码,供大家参考,具体内容如下 将ASP.NET MVC或ASP.NET Core MVC的表单验证改成气泡提示: //新建一个js文件(如:jquery.validate.Bubble.js),在所有要验证的页面...
Form身份验证基本原理
66
06-10 7630
先说说Form身份验证思路:假设用户要浏览需要权限的页面,此时,安全机制先启动,检查当前用户请求是否持有用户票据的Cookie如此Cookie存在:解析Cookie中的票据信息,获得用户角色,创建用户标识否则:认为用户无权浏览该页面,跳转至登入页面,登入成功后重定向到所请求页面^-^解释下我的文件目录:-> Admin文件(该文件目录下内容用户必登入且角色为"Admin"才可浏览)              -> Admin.aspx-> User.aspx(该文件只要登入可浏览)-> Login.aspx
探究from表单的身份证号码的校验逻辑 javascript
lazy_tomato的博客
05-16 970
start 最近番茄学习前端八股文,学的有些乏味了。随即在应用商店下载了几个小游戏,准备把玩放松一下。 众所周知,现在玩游戏都是要身份证实名认证的,但是我又有精神洁癖,不想把自己的身份证提供给这种小作坊。 "输入"一个身份证号码?番茄尝试了很多次,但是它的表单校验却一直无法通过。我很好奇!它这校验咋写的,走我们手撕一个去。 目标 了解身份证号码的规则 编写正则 研究一下身份证号码的格式 我们的身份证号码是长度为18的字符串,除了最后一位可能为字母x或0-9数字,其他每一位都由0-9数字组成。 每
表单身份验证概述
最新发布
zzy7075的专栏
03-29 59
在上一篇教程中 ,我们讨论了ASP.NET 提供的各种类型的身份验证、授权和用户帐户。在本教程中,我们将从讨论转向实现,特别地,我们将探讨表单身份验证的实现。我们在本教程中开始构建的Web应用程序将在后续的教程中逐步完善,从简单的表单身份验证到成员资格和角色。本文首先深入探讨表单身份验证流程,我们在前一教程中就接触过该主题。然后,我们将创建一个ASP.NET网站,通过它来阐述表单身份验证的各个概念。
Forms身份验证 知识总结
lihao199611287011的博客
07-25 1998
最简单的Forms验证实现方法: FormsAuthentication.SetAuthCookie()方法,传递一个登录名即可 FormsAuthentication.SignOut()方法退出 Forms验证可以保护受限制的页面比如有些页面未登录不能访问或者有的人没有权限访问 这些东西在web.Config中都可以配置 比如 有一个名字为MyInfo.aspx的页面要求这个页面的访问者必须为已...
java web之基于表单的身份验证
sunpy
07-07 3043
1.web应用程序安全主要注意什么 ①阻止未授权的用户访问敏感的数据 指定哪些用户才能访问哪些指定资源、用户的身份验证身份验证简单方式采用post方式提交表单,用户名和密码。身份验证复杂方式采用X. ②防止攻击者从数据传输过程中窃取网络数据 2.什么是声明式安全
细说ASP.NET身份认证
weixin_30270889的博客
04-16 301
细说ASP.NET身份认证 阅读目录 开始 ASP.NET身份认证基础 ASP.NET身份认证过程 如何实现登录与注销 保护受限制的页面 登录页不能正常显示的问题 认识Forms身份认证 理解Forms身份认证 实现自定义的身份认证标识 在多台服务器之间使用Forms身份认证 在客户端程序中访问受限页面 用户登录是个很常见的业务需求,在ASP.NE...
表单验证身份证
lu__lala的博客
10-28 601
1.实现失去焦点时验证身份证是否正确 实现代码如下: <!DOCTYPE html> <html> <head lang="en"> <meta charset="UTF-8"> <title>居民身份证号码验证</title> <link href="./css/style.css" rel="stylesheet" type="text/css"> <script sr...
常用的表单项验证。身份证,手机号,用户名。
qq_38743783的博客
11-18 323
js 精确判断身份证格式 身份证第16位 对2取余等于1的是男 等于2的是女。 const idCardReg = /^[1-9]\d{7}((0\d)|(1[0-2]))(([0|1|2]\d)|3[0-1])\d{3}$|^[1-9]\d{5}[1-9]\d{3}((0\d)|(1[0-2]))(([0|1|2]\d)|3[0-1])\d{3}([0-9]|X|x)$/; identityCodeValid(code) { // 判断身份证格式 const city = { .
asp.net中的窗体身份验证
01-12
ASP.NET中的窗体身份验证是指在ASP.NET中使用表单身份验证、Windows身份验证、Passport身份验证等方式来验证用户身份的过程。下面是ASP.NET中的窗体身份验证相关知识点: 1. ASP.NET中的身份验证方式: ASP.NET中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值