关于asp.net中forms身份验证

最新推荐文章于 2021-03-24 10:22:49 发布
最新推荐文章于 2021-03-24 10:22:49 发布
阅读量775 收藏 1
点赞数
分类专栏: .NET 文章标签: forms asp.net 加密 数据库 session 微软
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boy_go/article/details/3118948
版权
在asp.net中自带了forms验证的实现,没有通过表单的验证将被导航到登录页面,要在web.config文件中作设置,具体如下:
  1. <system.web>
  2.   <authentication mode="Forms">
  3.      <forms name="Login" loginUrl="~/Login.aspx" timeout="60">      
  4.       </forms>
  5.   </authentication>
  6. </system.web>
上述配置了验证的方式为Forms,而验证的表单页面为Login.aspx,过期时间60分钟。设置了登录表单那如何控制没有登录的用户不能访问其他页面呢? 这需要在相应的文件夹下添加web.config配置文件,对用户进行授权,如下:
  1. <system.web>
  2.    <authorization>
  3.      <allow users="administrator"/>
  4.      <allow roles="vip"/>
  5.      <deny users="?"/>
  6.    </authorization>
  7. <system.web>
此配置说明用户名为administrator的用户可以访问页面,角色为vip的可以访问,其他的匿名用户不可以访问(?表示匿名用户,*表示全部用户)。

现在有个问题,如何来保存这些用户信息呢?下面介绍三种情况:
1. 可以在<forms>中配置用户信息,如下:
  1. <forms name="Login" loginUrl="~/Login.aspx" timeout="60">
  2.     <credentials passwordFormat="SHA1">
  3.         <user name="administrator" password="123"/>
  4.      </credentials>
  5. </forms>
添加一个用户为administrator,密码为123,可以添加多个用户,可以选择密码方式passwordFormat(取值有:Clear不加密 ,MD5加密,SHA1加密),在此情况下如何在登录界面验证是否登录成功呢?可以用如下代码:
  1. if (FormsAuthentication.Authenticate(txtName.Text,txtPsd.Text))
  2. {      System.Web.Security.FormsAuthentication.SetAuthCookie(txtName.Text, true); // 发送验证成功票据
  4.      string strRedirect;
  5.      //表单验证所指定的路径
  6.      strRedirect = Request["ReturnUrl"];
  7.      if(strRedirect==null)
  8.      {
  9.           Response.Redirect("Default.aspx");
  10.      }
  11.      else
  12.      {
  13.           Response.Redirect(strRedirect);
  14.       }
  15.                     
  16. }
在重定向到原始请求页面还可以用FormsAuthentication.RedirectFromLoginPage()方法。
如果要退出登录需要调用:FormsAuthentication.SignOut()

2.在forms中存放的用户不可以设置角色,那如何进行角色的控制,微软提供了完整用户设置、授权功能。
首先要在数据库中建立相关的权限控制表,可以在SDK命令提示行中输入aspnet_regsql启动创建表结构的向导,根据向导一步步创建即可。
    接下来可以修改配置参数使用户权限控制的数据库连接指向到该数据库,可以在MMC控制台中ASP.NET中配置,配置的结果如下(可以从machine.config参考):
  1. <connectionStrings>
  2.         <add name="LocalSqlServer" connectionString="data source=./SQLEXPRESS;Integrated Security=SSPI;AttachDBFilename=|DataDirectory|aspnetdb.mdf;User Instance=true" providerName="System.Data.SqlClient"/>
  4. <membership>
  5.             <providers>
  6.                 <add name="AspNetSqlMembershipProvider" type="System.Web.Security.SqlMembershipProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" connectionStringName="LocalSqlServer" enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="true" applicationName="/" requiresUniqueEmail="false" passwordFormat="Hashed" maxInvalidPasswordAttempts="5" minRequiredPasswordLength="7" minRequiredNonalphanumericCharacters="1" passwordAttemptWindow="10" passwordStrengthRegularExpression=""/>
  7.             </providers>
  8.         </membership>
  9.         <profile>
  10.             <providers>
  11.                 <add name="AspNetSqlProfileProvider" connectionStringName="LocalSqlServer" applicationName="/" type="System.Web.Profile.SqlProfileProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/>
  12.             </providers>
  13.         </profile>
  14.         <roleManager>
  15.             <providers>
  16.                 <add name="AspNetSqlRoleProvider" connectionStringName="LocalSqlServer" applicationName="/" type="System.Web.Security.SqlRoleProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/>
  17.                 <add name="AspNetWindowsTokenRoleProvider" applicationName="/" type="System.Web.Security.WindowsTokenRoleProvider, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/>
  18.             </providers>
  19.         </roleManager>
注意:需要将上述代码中 minRequiredNonalphanumericCharacters = "1"改为="0", 不然在配置工具中添加用户存在需要包含1的提示,无法保存。

经过这样的配置之后可以在vs环境中打开asp.net配置,在安全中设置角色,用户,配置授权操作。
接下来的问题就是在登录窗口中如何判断有没有登录成功, 可以用如下语句:
  1. Membership.ValidateUser(this.txtLoginId.Text, this.txtLoginPwd.Text)
另外这种微软提供的用户权限控制还可以使用控件完成登录、注册等功能。

3. 在我们做一些管理系统中可以自己设计权限控制系统,一般也是基于角色的控制,不同的角色可以操作不同的菜单,不同菜单下的功能,对于这种控制网上很多。这种设计如何控制用户必须登录才能使用系统功能呢?
用户密码验证需要编写业务层的方法,提取数据库信息加以验证,验证成功后如何表示验证成功了呢?我们同样可以采用上述的方法cookie中添加用户票据,下面举例对票据加密的代码:
  1. FormsAuthenticationTicket tkt;
  2. string cookiestr;
  3. HttpCookie ck;
  4. tkt = new FormsAuthenticationTicket(1, user.Name, DateTime.Now, DateTime.Now.AddMinutes(30), true"your custom data"); //创建一个验证票据
  5. cookiestr=FormsAuthentication.Encrypt(tkt);//并且加密票据
  6. ck=new HttpCookie(FormsAuthentication.FormsCookieName,cookiestr);// 创建cookie
  7. ck.Path=FormsAuthentication.FormsCookiePath;//cookie存放路径
  8. Response.Cookies.Add(ck);
另外一种可能完全抛弃微软提供的身份验证方式,将用户登录的用户信息保存到Session中,在每个页面中加以判断。为避免每个页面都作判断,可以在Global.asax中添加如下代码:
  1. void Session_Start(object sender, EventArgs e) 
  2. {
  3.         if (Session["SysUser"] == null)
  4.         {
  5.             Response.Redirect("~/Login.aspx");
  6.         }
  7. }
最后,自己设计的权限系统如何能使用微软的角色和访问控制呢?有待解决

boy_go
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net forms身份验证,避免重复造轮子
10-29
通过以上步骤,我们成功地使用ASP.NET Forms身份验证实现了一个登录系统,并且能够从Ticket的userData获取用户更多信息,而无需自己维护Session或Cookie。这种方式既简化了代码,也提高了安全性,因为Ticket信息是...
浅谈asp.net Forms身份验证详解
01-20
本文将详细解析这一机制,并通过一个简单示例来演示如何在ASP.NET实现Forms身份验证。 首先,了解Forms身份验证的基本原理。当用户尝试访问受保护的资源时,如果尚未登录,服务器会将用户重定向到指定的登录页面...
Asp.NetForms验证,解决Cookie和Seesion失效时间
weixin_30371875的博客
07-22 140
网站开发用户验证一般采用Asp.NetForms验证,验证票据存储到Cookie的方式。 Session方式是将验证信息存储在内存,如果你使用的虚拟主机给你分配很小的内存,实际上都是如此,那么session就会很快过期,要求你重新登录,如果用户正在填写信息,被要求重新登录,那愤怒的感觉可想而知。 cookie是存储在用户的客户端的。但是也会碰到失效的问题,下面一一来了解。 ...
IE10登陆Session丢失的bug问题
diqi2676的博客
04-08 251
IE10登陆Session丢失的bug问题 今天发现在IE10登录我公司的一个网站时,点击其它菜单,页面总会自动重新退出到登录页,后检查发现,IE10送出的HTTP头,和.AUTH Cookie都没问题,但使用表单验证机制(FormsAuthentication)...
php asp.net session,Asp.NetSession失效是怎么解决的?
weixin_36432451的博客
03-24 93
这篇文章主要介绍了Asp.Net程序目录下文件夹或文件操作导致Session失效的解决方案,需要的朋友可以参考下1、配置web.config2、在Global.asax添加启动启动ASP.NET 状态服务代码void Application_Start(object sender, EventArgs e){// 在应用程序启动时运行的代码try{//启动ASP.NET 状态服务string g...
关于ASP.NETForms身份验证详解
Here I am
05-02 692
      每个web开发人员,都或多或少的接触到了身份验证,而接触最多的大概就是windows验证和Forms身份验证了,本文这里就详解下Forms身份验证,对过去一段时间的学习做一个总结。       在开始之前,我将新建一个web项目用来测试,下面是几个主要的目录:        Admin目录: 管理员目录 --Default.aspx 管理员目录下的页面User目录:
简单配置authentication,完成基于表单的身份验证
zhu_yanjie的专栏
03-28 1162
验证用户身份成功,并登陆后台admin文件夹里的admin.aspx后台管理页面,否则禁止匿名用户访问项目的admin文件夹里的任何一个文件 步骤一:  在根目录下的web.config加入: system.web>  authentication mode="Forms">             forms loginUrl="Login.aspx" defaultUrl
ASP.NET Internet安全Forms身份验证方法
10-29
安全性是 ASP.NET Web 应用程序一个非常重要的方面,它涉及内容非常广泛,不能在一篇文章内说明所有的安全规范,本文讲述如何利用IIS以及Forms 身份验证构建安全的 ASP.NET 应用程序,它是目前被使用最多最广的验证/...
asp.net mvcForms身份验证身份验证流程
10-19
ASP.NET MVCForms身份验证是Web应用程序常用的身份验证机制,它主要用于确保只有经过验证的用户才能访问受保护的资源。下面将详细解释这个过程。 首先,我们需要在`web.config`文件配置Forms身份验证。这...
Asp.net基于Forms验证的角色验证授权
GoodShot的专栏
10-15 2794
Asp.net身份验证有有三种,分别是"Windows | Forms | Passport",其又以Forms验证用的最多,也最灵活。   Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cookie一起发送到服务端。服务端上的授权设置就可以根据不同目录
初识ASP.NET MVC窗体验证与权限过滤---1.窗体身份验证
echoshinian100的专栏
05-16 883
一直不懂如何解决web系统的登录权限控制问题,在最开始的时候,我用了一个很土的方法。用户登录成功后就把用户的身份信息写到一个会话cookie。这种方法非常的脆弱而且不安全。比如a用户登录后没有退出功能页面,此时他又登录了b用户的账户,身份cookie已经被改写成了b。如果此时他回到a用户的功能页上继续操作,轻则他会看到b用户的相关信息,重则会出现系统错误。          就算用户正常登录了
Forms身份验证的配置
weixin_30918415的博客
08-04 475
authentication — 认证; 身份验证; 证明,鉴定; 密押; authorization — 授权,批准; 批准(或授权)的证书; <authenticationmode="Windows|Forms|Passport|None"><formsname=".ASPXAUTH"loginUrl="Login.aspx"protection="All...
使用Forms Authentication实现用户注册、登录 (一)基础知识
半亩方塘
01-02 1276
前言  本来使用Forms Authentication进行用户验证的方式是最常见的,但系统地阐明其方法的文章并不多见,网上更多的文章都是介绍其某一部分的使用方法或实现原理,而更多的朋友则发文询问如何从头到尾完整第实现用户的注册、登录。因此,Anders Liu在这一系列文章计划通过一个实际的例子,介绍如何基于Forms Authentication实现:l 用户注册(包括密码的加密
System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(string, string)已过时的解决办法...
weixin_30657541的博客
04-21 2882
FormsAuthentication.HashPasswordForStoringInConfigFile 方法是一个在.NET 4.5已经废弃不用的API,参见: https://msdn.microsoft.com/zh-cn/library/system.web.security.formsauthentication.hashpasswordforstoringinconfigfil...
asp.net Forms表单验证 使用经验及验证流程分析
wyf1022的专栏
12-25 822
      最近,要做一个登陆的页面,就想到了安全性方面的问题。记得曾经在邵志东老师讲的关于asp.net安全性方面的课程,提到asp.net提供了4个身份验证程序:1.表单身份验证;2.Windows身份验证;3.Passport身份验证;4.默认身份验证。尤其讲了表单身份验证,想想,正好自己以前也不曾使用过这个验证方式,那就拿来练练手吧。      表单验证,可以根据用户和角色来限制用户
如何:实现简单的 Forms 身份验证
高山流水
08-10 883
本主题的示例演示了 ASP.NET Forms 身份验证的简单实现。该示例旨在阐释关于如何使用 Forms 身份验证来允许用户登录到 ASP.NET 应用程序的基础知识。 注意 一种使用 Forms 身份验证的方便途径是使用 ASP.
ASP.NET编程知识】ASP.NET Forms身份认证详解.docx
最新发布
05-15
如果该值为`true`,则表明用户已经通过某种方式(如Windows身份验证、Cookie或Forms身份验证)进行了身份验证。为了获取当前登录用户的用户名,可以调用`HttpContext.User.Identity.Name`属性,这是一个实例属性,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值