Asp.Net的基于Forms的验证机制--角色授权

最新推荐文章于 2018-01-09 15:48:00 发布
最新推荐文章于 2018-01-09 15:48:00 发布
阅读量136 收藏
点赞数
原文链接:http://www.cnblogs.com/raymond19840709/archive/2007/08/24/868243.html
版权
构建基于forms的验证机制过程如下:
    1,设置IIS为可匿名访问和asp.net web.config中设置为form验证
    2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用)

     简单无role方式:

    使用FormsAuthenticationTicket创建一个Cookie并回发到客户端,并存储 角色到票中,如:
     FormsAuthentication.SetAuthCookie(Username,true | false)
    cookies保存时间:
     HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName].Expires=DateTime.Now.AddDays(1)

     如果需要存储角色方式:  
  1.  FormsAuthenticationTicket authTicket = new    
  2.  FormsAuthenticationTicket(    
  3.  1, // version    
  4.  txtUserName.Text, // user name    
  5.  DateTime.Now, // creation    
  6.  DateTime.Now.AddMinutes(20),// Expiration    
  7.  false// Persistent    
  8.  roles ); // User data   
  9.     //roles是一个角色字符串数组    
  10.  string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密    
 FormsAuthenticationTicket authTicket = new
FormsAuthenticationTicket(
1, // version
txtUserName.Text, // user name
DateTime.Now, // creation
DateTime.Now.AddMinutes(20),// Expiration
false, // Persistent
roles ); // User data
    //roles是一个角色字符串数组
string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密

   存入Cookie

  1. HttpCookie authCookie =    
  2. new HttpCookie(FormsAuthentication.FormsCookieName,    
  3. encryptedTicket);    
  4.   
  5. Response.Cookies.Add(authCookie);    
 HttpCookie authCookie =
new HttpCookie(FormsAuthentication.FormsCookieName,
encryptedTicket);
Response.Cookies.Add(authCookie);

   在Application_AuthenticateRequest事件中处理程序中(Global.asax)中,使用票创建IPrincipal对象并存在HttpContext.User中代码:

  1. protected void Application_AuthorizeRequest(object sender, System.EventArgs e)   
  2. {   
  3.  HttpApplication App = (HttpApplication) sender;   
  4.  HttpContext Ctx = App.Context ; //获取本次Http请求相关的HttpContext对象   
  5.  if (Ctx.Request.IsAuthenticated == true//验证过的用户才进行role的处理   
  6.  {   
  7.  FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;   
  8.  FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份验证票   
  9.  string[] Roles = Ticket.UserData.Split (',') ; //将身份验证票中的role数据转成字符串数组   
  10.  Ctx.User = new GenericPrincipal (Id, Roles) ; //将原有的Identity加上角色信息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息   
  11.  }   
  12. }   
protected void PostAuthenticateRequest(Object sender, EventArgs e)

{
HttpApplication App = (HttpApplication) sender;
HttpContext Ctx = App.Context ; //获取本次Http请求相关的HttpContext对象
if (Ctx.Request.IsAuthenticated == true) //验证过的用户才进行role的处理
{
FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;
FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份验证票
string[] Roles = Ticket.UserData.Split (',') ; //将身份验证票中的role数据转成字符串数组
Ctx.User = new GenericPrincipal (Id, Roles) ; //将原有的Identity加上角色信息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息
}
}

   需要对某些页面进行角色控制,有两种方法:
    1、web.config中加

  1. <location path="EditPost.aspx">    
  2. <system.web>    
  3. <authorization>    
  4. <allow roles="RoleName" />    
  5. <deny users="?" />    
  6. </authorization>    
  7. </system.web>    
  8. </location>    
 <location path="EditPost.aspx">
<system.web>
<authorization>
<allow roles="RoleName" />
<deny users="?" />
</authorization>
</system.web>
</location>

    2、把只能是某种角色访问的文件放在同一目录下,在此目录下添加一个web.config

  1. <configuration>    
  2. <system.web>    
  3. <authorization>    
  4. <allow roles="RoleName" />    
  5. <deny users="*" />    
  6. </authorization>    
  7. </system.web>    
  8. </configuration>    
 <configuration>
<system.web>
<authorization>
<allow roles="RoleName" />
<deny users="*" />
</authorization>
</system.web>
</configuration>

    说明:子目录的web.config设置优先于父目录的web.config设置



Forms身份验证,为什么<allow roles="Administrators" /><deny users="*" />后,所有用户都进不来了?

把把授权的代码放到Application_AuthorizeRequest里面是不对的!由于很多相关文章都是引用的,故害死很好程序员,应该是放在下面这个事件里的。

void Application_PostAuthenticateRequest(Object sender, EventArgs e)
    {
        HttpApplication App = (HttpApplication)sender;
        HttpContext Ctx = App.Context; //获取本次Http请求相关的HttpContext对象
        if (Ctx.Request.IsAuthenticated) //验证过的用户才进行role的处理
        {
            FormsIdentity Id = Ctx.User.Identity as FormsIdentity;
            FormsAuthenticationTicket Ticket = Id.Ticket; //取得身份验证票
            string[] Roles = Ticket.UserData.Split(','); //将身份验证票中的role数据转成字符串数组
            Ctx.User = new System.Security.Principal.GenericPrincipal(Id, Roles); //将原有的Identity加上角色信息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息
        }
    }


具体请参考:http://community.csdn.net/Expert/TopicView3.asp?id=5526963

转载于:https://www.cnblogs.com/raymond19840709/archive/2007/08/24/868243.html

afhu47033
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net 基于forms验证的目录角色权限的实现
10-29
一个系统中经常有多种身份的用户,往往要根据其身份来控制目录的访问权限。asp.net提供了forms验证,能够轻易的在配置文件中设置用户对目录的访问权限.
ASP.NET 授权角色 Part.1(URL授权、代码授权
weixin_34124651的博客
04-16 114
       授权是决定一个已验证用户是否拥有足够的权限执行特定操作的过程。可以是请求一个网页、访问一个由操作系统控制的资源(文件或数据库等)或执行一个应用程序特定任务等。   URL 授权        设置安全权限最直接的方式是对单独的网页、Web服务、下级目录进行设置。理想的情况下,Web 程序框架应当支持资源特定的授权,而无需更改代码和重新编译程序。ASP.NET 通过 web.co...
ASP.NET 2.0 成员资格和角色管理授权
weixin_34119545的博客
01-04 125
从严格意义上来说,ASP.NET 2.0 的成员资格、角色管理授权和 .NET 角色安全性没有多大关系。只不过,Microsoft 替我们完成了一些原本需要我们自己进行的工作而已。 在这两种新的技术中使用的"提供程序模型"倒是值得我们好好学习一下,因为这个 IoC 概念非常相似。 成员资格 成员资格提供了通用的用户管理功能,诸如注册、登录、找回密码等,加上与之配套的可视化控件,我们“几...
Asp.net中基于角色验证授权
不是程序员
12-03 2315
Asp.net的身份验证有有三种,分别是”Windows | Forms | Passport”,其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cookie一起发送到服务端。服务端上的授权设置就可以根据不同目录对不同用户的
asp.net Forms表单验证授权
baimanmu3398的博客
01-09 146
http://www.jb51.net/article/89843.htm https://www.cnblogs.com/fish-li/archive/2012/04/15/2450571.html 转载于:https://www.cnblogs.com/KQNLL/p/8251788.html
asp.net Forms身份验证和基于角色的权限访问
10-29
Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户的角色决定能访问的页面。
ASP.NET 基于FORMS验证的目录角色权限
07-29
总的来说,"ASP.NET 基于FORMS验证的目录角色权限"是一个关键的安全概念,它确保了只有经过身份验证并拥有适当权限的用户才能访问敏感的Web应用程序资源。这个主题涵盖了从用户登录、验证角色创建和分配,到权限...
Asp.net中基于Forms验证角色验证授权
04-07
### Asp.net中基于Forms验证角色验证授权 #### 一、Forms身份验证基本原理 Forms身份验证Asp.net中一种非常重要的身份验证机制,它允许开发者自定义身份验证流程,并通过Cookie保存用户身份信息,从而实现后续...
ASP.NET Forms身份认证及授权
ASP.NET
09-28 1148
配置文件的结点下添加如下代码: 登录的后台代码为(在这里用户名和密码都设置为admin,chkPWD:是否记住密码): 首先导入命名空间:using System.Web.Security; if (TextBox1.Text=="admin" && TextBox2
Asp.Net基于forms验证机制,记录一下...
weixin_34279579的博客
06-29 355
最近在看asp.net forum,对其中的验证机制看得模模糊糊,看完构建安全的 ASP.NET 应用程序中的表单身份验证部分,思路就很清晰了,稍做了点记录,以便查阅: 构建基于forms验证机制过程如下: 1,设置IIS为可匿名访问和asp.net web.config中设置为form验证 2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用) 3,使用FormsA...
【MVC】ASP.NET MVC Forms验证机制
weixin_33695450的博客
09-09 196
ASP.NET MVC 3   使用Forms身份验证 身份验证流程 一、用户登录   1、验证表单:ModelState.IsValid   2、验证用户名和密码:通过查询数据库验证   3、如果用户名和密码正确,则在客户端保存Cookie以保存用户登录状态:SetAuthCookie     1):从数据库中查出用户名和一些必要的信息,并把额外信息保存到UserData中   ...
Asp.Net基于forms验证机制
wearegouest的专栏
07-13 471
构建基于forms验证机制过程如下: 1,设置IIS为可匿名访问和asp.net web.config中设置为form验证 2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用) 3,使用FormsAuthenticationTicket创建一个Cookie并回发到客户端,并存储角色到票中,如:   FormsAuthentication.SetAuthCookie(Username,t
ASP.NET Forms表单验证流程
shumixys的博客
04-22 835
1、站点web.config 配置Authentication 和Authorization 节点 loginUrl: 为用户访问指定页面前默认最先访问的页面。 authorization:为授权所有用户都可以访问 2、在站点子文件夹User下添加web.config,设置可访问当前子文件夹下的文件的用户。 对指定页面进行授权 对user角色的用户授权 拒绝其他所
TerAd - 基于stm32的各种数字接口的终端适配器
最新发布
08-08
TerAd - 基于stm32的各种数字接口的终端适配器
ASP.NET安全机制详解:身份验证授权
总结来说,ASP.NET的安全机制确保了Web应用的安全性,通过身份验证防止未授权访问,通过授权控制用户对资源的操作,同时通过角色和用户级别的区分提供了精细的权限管理。理解并正确配置这些安全机制对于构建安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值