实现Asp.net Forms身份验证的操作步骤

最新推荐文章于 2024-05-02 18:42:07 发布
最新推荐文章于 2024-05-02 18:42:07 发布
阅读量693 收藏
点赞数
分类专栏: asp.net 文章标签: forms asp.net authorization authentication null application



        
对于应用程序的身份验证,一直是自已编写登陆窗体,在窗体的CS文件中判断用户的登录是否合法,如果合法则将用户名保存在Cookie中。然后将所有页面的继承于一个类似BaseForm这样的基页面,在这个页面的Page_Load事件中加入判断,根据Cookie来判断用户是否已登录,如果没有登录则跳转到登录页面。
最近作一个互连网网站,想起安全性的问题,查阅了一些资料后觉得采用Asp.net提供的标准的Forms验证方式。研究了一下,现在写出操作步骤,以供以后使用的时候参考(博客现在的一个很重要的功能就是用来保存曾经的学习积累)
1、 修改web.config文件。如果vs2005的话,默认没有这个文件,调试时才会提示你是否要添加该文件。在web.config文件的<system.web>节中添加下面的三部分内容:
<authentication mode="Forms">
       <forms loginUrl="default.aspx" name=".ASPXFORMSAUTH">
       </forms>
     </authentication>
     <authorization>
       <deny users="?" />
     </authorization>
    <machineKey
    validationKey="AutoGenerate,IsolateApps"
    decryptionKey="AutoGenerate,IsolateApps"    
    validation="SHA1"
    decryption="Auto" />
上面三部分分别标有不同颜色,第一部分是设定应用程序的身份验证模式,默认是windows,如果你的系统是在局域网内使用,并且整个局域网是工作在域模式下,那windows身份验证方式将会有很好的效果,如果多个B/S用windows模式来进行身份验证,那么他们甚至可以非常方便的就实现了单点登陆的效果。但Forms身份验证使用的更普遍些,虽然相对来说他存在安全性差的问题。在authentication节下有个forms节,在那里你可以填上执行你身份验证的页面,以及存储身份验证所采用的Cookie名称。如果你不填写Cookie名称的话,Asp.net默认分配.ASPXFORMSAUTH作为Cookie名称。
     第二部分authorization是授权部分。你可以配置允许或拒绝某些用户或者角色来访问你的应用程序,他下面有deny,allow可以使用,搭配通配符?、*让我们可以非常轻易的配置出轻量级简单的身份验证体系。详细的配置信息可以参照asp.net的帮助文档,在此不在详细描述。
     第三部分 machineKey 是用来配置存取Cookie时采用的加密/解密算法。有了这个算法后,Cookie应该算是比较安全了吧。
2、 将Cookie信息登录后保存起来。
        FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(1,CookieInfo, DateTime.Now, DateTime.Now.AddHours(20),false,UserData); // User data
        string encryptedTicket = FormsAuthentication.Encrypt(authTicket); // 加密
        //    存入Cookie
        HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName,encryptedTicket);
         authCookie.Expires = authTicket.Expiration;
         Response.Cookies.Add(authCookie);
首先创建一个身份票据,身份票据主要保存用户的名称,Cookie的过期时间,另外你还可以保存一些额外数据,比如用户所扮演的角色。这里有个地方要注意,UserData是用来保存一些额外数据,比如角色,但如果我没有数据的话,通常会传一个null值进去,但如果你是想将Cookie信息进行加密保存的话,这里不能传null值,你可以传一个””值。如果传null值的话,在执行 string encryptedTicket = FormsAuthentication.Encrypt(authTicket); 的时候会返回一个null值,以至于生成一个错误的加密Cookie值。如果要将Cookie进行长期保存,需要为Cookie设置一个过期时间。
3、 读取保存在计算机中的Cookie。
在Global.asax 文件中存在Application_AuthenticateRequest事件,它是执行所有服务器端请求的时候执行。因此我们可以在这个地方读取Cookie并进行解密。以下是示例代码:
protected void Application_AuthenticateRequest(object sender, EventArgs e)
     {
        string cookieName = FormsAuthentication.FormsCookieName;// 从验证票据获取Cookie的名字。
        // 取得Cookie.
        HttpCookie authCookie = Context.Request.Cookies[cookieName];
        if (null == authCookie)
            return;
        FormsAuthenticationTicket authTicket = null;
        // 获取验证票据。
         authTicket = FormsAuthentication.Decrypt(authCookie.Value);
        if (null == authTicket)
            return;
       
        // 验证票据的UserData中存放的是用户角色信息。
        //UserData 本来存放用户自定义信息。此处用来存放用户角色。
        string[] roles = authTicket.UserData.Split(new char[] { ',' });
        FormsIdentity id = new FormsIdentity(authTicket);
        GenericPrincipal principal = new GenericPrincipal(id, roles);
        // 把生成的验证票信息和角色信息赋给当前用户.
         Context.User = principal;
     }
当你对Cookie加密存储之后必须要进行解密后才能进行使用。
divingmaomao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Asp.net中基于Forms验证的角色验证授权
chnking的专栏
06-11 3305
Asp.net中基于Forms验证的角色验证授权Asp.net身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cooki
FormsAuthentication 权限验证
09-30
FormsAuthentication 权限验证
forms 身份验证(授权)详解
weixin_30463341的博客
07-27 1090
首先在 web.config 中设置<authentication mode="Forms">设置 mode="Forms" <forms loginUrl="login.aspx" name="boyang" protection="All"></forms>加密和保护 </authentication> <authoriz...
login登录web配置
w1824575989的博客
10-15 2389
首先明确该文要实现的功能是:当你网站中存在用户名和密码登陆情况:如果你未登录直接复制页面地址回车进入页面时,这时就起作用了。你这时session、cookia等等存储该用户名是空的则自动进入登陆界面。 再也不用你一个一个页面添加 if(session["username"]==null) { Response.Redirect="login.aspx"; } 大家说是不是方便多了。下来我们就一起学习一下这个小技巧: 在webconfig中有一个重要节点 <system.web>.
C#面:ASP.NET身份验证方式有哪些
最新发布
那个那个鱼的博客
05-02 763
C# ASP.NET 提供了多种身份验证方式,常用的有以下几种:
asp.net forms身份验证,避免重复造轮子
10-29
通过以上步骤,我们成功地使用ASP.NET Forms身份验证实现了一个登录系统,并且能够从Ticket的userData中获取用户更多信息,而无需自己维护Session或Cookie。这种方式既简化了代码,也提高了安全性,因为Ticket信息是...
asp.net Forms身份验证和基于角色的权限访问
01-01
主要思想:Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户的角色决定能访问的页面。 具体步骤: 1、创建一个网站,结构如下: 网站根目录 Admin目录 —-> 管理员目录 Manager.aspx —-> 管理员...
ASP.NET窗体身份验证详解
01-20
ASP.NET窗体身份验证是一种广泛应用于Web开发的身份验证机制,主要在.NET框架中使用。它提供了安全、方便的方式来管理用户身份,确保只有经过验证的用户能够访问受保护的资源。在描述中提到,窗体身份验证Forms ...
asp.net 身份验证(最简单篇)
10-29
ASP.NET中,实现Forms身份验证主要有以下三个步骤: 1. **配置Web.config文件**:在`<system.web>`元素下,设置`<authentication>`标签为`<authentication mode="Forms" />`,表明采用Forms身份验证。同时,添加`...
ASP.NET编程知识】ASP.NET Forms身份认证详解.docx
05-15
这段配置表明应用使用Forms身份验证,登录页面是`~/Account/Login.aspx`,且所有未认证的用户都被拒绝访问(`?`代表未认证用户)。 总的来说,ASP.NET Forms身份认证提供了一套安全、灵活的方法来管理用户身份和...
asp.net中几种常用的身份验证方法总结
10-26
本篇文章小编就为大家介绍一下在asp.net中几种常用的身份验证方法。需要的朋友可以过来参考下,希望对大家有所帮助
Form身份认证方式配置
m0_51701478的博客
01-03 279
所有的HTTP访问都要经过iis,所以限制iis的安全性是关键 ASP.NET支持的四种授权方式:windows,passpost,form,none. Form身份认证: <system.web> <authentication mode="Forms"> <form LoginUrl="Login.aspx" defaultUrl=”default.aspx“> </forms> </authentication> 在这里也可以对一些用户做限
<authentication mode="Forms"> 发布错误
rav009的专栏
10-28 3746
IIS 网站属性 应用程序设置 创建之!
FormsAuthentication使用指南
热门推荐
我的专栏
11-20 2万+
配置安全鉴别 鉴别是指鉴定来访用户是否合法的过程。ASP.NET Framework支持三种鉴别类型: Windows鉴别; NET Passport鉴别; Forms鉴别。 对于某一特定的应用程序,同一时刻只能启用其中一种鉴别方式。例如,不能在同一时刻同时启用Windows鉴别和Forms鉴别。 在默认情况下,系统将启用Windows鉴别。当Windows鉴别启用后,用户通过微软Wi

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值