asp.net用户登入验证

最新推荐文章于 2024-05-12 20:32:47 发布
最新推荐文章于 2024-05-12 20:32:47 发布
阅读量2.3k 收藏 5
点赞数
asp.net用户登入验证引言前一段时间有两个朋友问我,为什么在HttpModule中无法获得到Session,因为他们希望

asp.net用户登入验证
引言

前一段时间有两个朋友问我,为什么在HttpModule中无法获得到Session值,因为他们希望自定义一个HttpModule,然后在其中获取Session来进行用户验证。我奇怪为什么不使用.Net Framework已经提供的验证机制,而要和Asp时一样,自己手工进行cookie+Session验证?我们是基于.Net Framework这个平台进行编程,所以我觉得,在很多情况下,使用Framework已经建立好的机制会显著地提高工作效率,而且.NET Framework内置的验证机制通常也更加安全。

.Net提供了一整套的验证和授权机制,这里验证和授权是不同的概念,验证(Authentication)是指“证明你确实是你所说的人”,通常是提供一个用户名和口令,然后与持久存储(比如数据库)中的用户名和口令进行对比。授权(Authorization)是指“你是否有足够的权限做某件事”,此时你的身份已经被证明过了(匿名用户、会员还是管理员),授权通常与用户组或者用户级别联系起来,不同的用户组拥有不同的权限(访问特定页面或者执行特定操作)。

回想一下我刚接触.Net时,也曾经完全绕过.NET的验证,自己编码采用Cookie+Session实现身份验证,并且一个Asp.Net 登录控件都没有使用,那时候的理由是:我要使用自定义的用户表,不能使用Asp.Net安全机制在App_Data下自动生成的AspNetDB.mdf中的一系列数据表。除此以外,还有一个原因,就是.Net验证机制的核心IPrincipal和Identity提供的信息用户信息太少了,当在页面后置代码中使用继承来的User属性(IPrincipal类型)时,它的Identity属性只有一个Name与用户数据相关(AuthenticationType与IsAuthenticated都是与验证相关),而很多时候我们都需要许多额外的用户数据。其实这只是一个误解罢了,以为使用Asp.Net的验证机制和登录控件就一定要使用其附带的数据表,以为Identity就只能携带一个Name属性。

实际上,.NET的安全机制包括了几个部分,除了验证以外,还包括MemberShip、Profile、Role等,我们完全可以只使用它的验证机制,而绕过它的MemberShip、Profile和Role,来实现通常我们用Cookie+Session完成的功能,而且更高效更安全。这篇文章将快速地实现这样的一个流程。

开始前的准备

创建页面,配置Web.config

我们先创建解决方案、建立站点,然后在站点中添加下述文件,它们将会在后面使用:
asp.net用户登进验证
接着对Web.config进行一下配置,首先看根目录下的Web.config:

  1. <?xml version="1.0"?>
  2. <configuration>
  3.     <system.web>
  4.         <authentication mode="Forms">
  5.             <forms timeout="600" slidingExpiration="true" loginUrl="~/SignIn.aspx" />
  6.         </authentication>
  7.     </system.web>
  8.     
  9.     <location path="AuthOnly.aspx" >
  10.         <system.web>
  11.             <authorization>
  12.                 <deny users="?" />
  13.             </authorization>
  14.         </system.web>
  15.     </location>
  16. </configuration>
复制代码这里我们指定了采用Forms验证,并且设置用户身份验证过期时间为600分钟(默认为30分钟),slidingExpiration的意思是说timeout采用绝对时间还是滑动时间,当采用滑动时间时,如果在timeout时间内再次浏览页面,用户的最后活跃时间将设为当前时间,并重新开始计算,这里我们采用滑动时间。loginUrl指定了登录页面,当匿名用户访问需要验证后才能访问的页面时,将会到自动导航到这里所设置的SignIn.aspx页面,默认为Login.aspx。

接着我们指定AuthOnly.aspx页面为只有验证过的用户才可以访问。然后创建了AuthOnly文件夹,在其下添加了一个web.config,对这个目录进行设置,指定该文件夹下所有文件只允许验证用户进行访问。
  1. <configuration>
  2.     <system.web>
  3.         <authorization>
  4.             <deny users="?" />
  5.         </authorization>
  6.     </system.web>
  7. </configuration>
复制代码创建用户数据表和数据访问

既然是用户登录,所以我们自然需要一张用户表,在App_Data下创建一个SiteData 数据库,然后添加一张User用户表,表的设置如下:
asp.net用户登进验证
这个表模拟了一个小型的论坛用户表,字段的含义基本都是自解释的,UserImage是用户头像的地址,PostCount是用户的发帖数,ReplyCount是用户的回帖数,Level是用户的级别。我已经为表中添加了两条范例数据,其中一条用户名为JimmyZhang,密码为password。
接下来我们需要添加一个存储过程,这个存储过程接收一个name参数,和一个password输出参数,根据name判断User表中是否存在该用户,如果存在,则由password带回正确的密码:
  1. ALTER PROCEDURE dbo.IsValidUser 
  2. (
  3.     @userName varchar(50),
  4.     @password varchar(50) OUTPUT
  5. )
  6. AS
  7.     if Exists(Select Id From [User] Where [Name] = @userName)
  8.         Begin
  9.             Select @password = Password From [User] Where [name]= @userName 
  10.             Select 1        -- Ture
  11.         End    
  12. Select 0        -- false
复制代码这样做的目的是为了程序能够区分“不存在此用户”和“用户存在,但是密码不正确”这两种情况。如果Select的where子句为[name]=@userName and [password] = @password,则无法进行区分。由数据库带回了正确的密码之后,我们只需要在程序中与用户输入的密码进行对比就可以知道用户的密码是否正确。

接下来我们创建一个强类型DataSet作为我们的数据访问层,因为我发现使用强类型DataSet作数据访问是最快的,基本不需要编写一行代码,在App_Code中添加一个AuthDataSet数据集文件,然后将User表拖进去,另外配置一下UserTableAdapter,添加两个方法,一个是GetUserTable(@name),它根据name参数获得用户信息;一个是IsValidUser(@userName, @password),它调用了上面的存储过程,并且返回一个标量值(0或者1)。
配置好以后,你的AuthDataSet应该和下面一样:
asp.net用户登进验证
如果你查看一下生成的IsValidUser()方法,就会发现它具有这样的签名:
public virtual object IsValidUser(string userName, ref string password)
由于它返回的是一个object类型,并且接收的是一个ref参数,尽管这样最通用,但是可能不够方便,注意到UserTableAdapter是一个部分类,所以我们可以在App_Code中再创建一个UserTableAdapter部分类,对它进行一个简单的包装:
  1. namespace AuthDataSetTableAdapters {

  3.     // 检查是否是正确的用户名,如果是正确的用户名,带回正确的密码
  4.     public partial class UserTableAdapter {    
  5.         public bool IsValidUserST(string userName, out string password) {
  6.             password = "";
  7.             return Convert.ToBoolean(this.IsValidUser(userName, ref password));        
  8.         }
  9.     }
  10. }
复制代码

这里的方法后缀ST,意思是StrongType(强类型)。好了,现在我们的数据访问就已经OK了,接下来我们看一下第一个页面:SignIn.aspx用户登录页面。

用户登录 -- 为Identity添加用户数据

Login.aspx页面实现

在登录页面,我们需要针对登录用户和非登录用户做不同的处理:如果用户尚未登录,则显示登录用的表单;如果用于已经登录了,则显示登录用户名并进行提示。完成这件事最好就是使用LoginView控件和LoginName控件了:
  1. <asp:LoginView ID="LoginView1" runat="server">
  2.     <LoggedInTemplate>
  3.         <asp:LoginName ID="LoginName1" runat="server" />
  4.         ,你已经登录了^_^ <br /><br />
  5.                 
  6.         你可以选择 <asp:LoginStatus ID="LoginStatus1" runat="server" LogoutPageUrl="~/Logout.aspx" LogoutAction="Redirect"  />
  7.     </LoggedInTemplate>
  8.     <AnonymousTemplate>
  9.         用户名:<asp:TextBox ID="txtUserName" runat="server" Width="128px"></asp:TextBox>
  10.         <br />
  11.         密 码:<asp:TextBox ID="txtPassword" runat="server"></asp:TextBox>
  12.         <br />
  13.         <asp:Button ID="btnLogin" runat="server" Text="登 录"  Width="100px" />
  14.         <br />
  15.         <br />
  16.         <asp:Label ID="lbMessage" runat="server" ForeColor="Red" Text=""></asp:Label>
  17.     </AnonymousTemplate>
  18. </asp:LoginView>
复制代码这里的关键是“登录”按钮的代码后置文件,在“引言”部分,我们提到了Identity中的信息太少,为了向Identity中添加信息,我们可以先获得FormsIdentity的Ticket属性,它是一个FormsAuthenticationTicket类型,它含有一个UserData字符串属性可以用于承载我们的用户数据,遗憾的是这个属性是只读的,为了给这个属性赋值,我们需要重新新构建一个FormsAuthenticationTicket,并在构造函数中传入我们想要添加的用户信息。

FormasAuthenticationTicket包含了诸多用于用户验证的信息,它从Cookie中获得,可以认为它是服务端对Cookie的一个包装,只是这里的Cookie的操作不需要我们来处理,而由Asp.Net运行时去处理。具体的代码如下:
  1. public partial class SignIn : System.Web.UI.Page {

  3.     private enum LoginResult {
  4.         Success,
  5.         UserNotExist,
  6.         PasswordWrong
  7.     }

  9.     // 用户登录
  10.     private LoginResult Login(string userName, string password) {

  12.         string validPassword;  // 包含正确的密码
  13.         AuthDataSetTableAdapters.UserTableAdapter adapter =
  14.             new AuthDataSetTableAdapters.UserTableAdapter();

  16.         // 判断用户名是否正确
  17.         if (adapter.IsValidUserST(userName, out validPassword)) {
  18.             // 判断密码是否正确
  19.             if (password.Equals(validPassword))
  20.                 return LoginResult.Success;
  21.             else
  22.                 return LoginResult.PasswordWrong;
  23.         }

  25.         // 用户名不存在
  26.         return LoginResult.UserNotExist;
  27.     }
  28.     
  29.     protected void btnLogin_Click(object sender, EventArgs e) {

  31.         TextBox txtUserName = LoginView1.FindControl("txtUserName") as TextBox;
  32.         TextBox txtPassword = LoginView1.FindControl("txtPassword") as TextBox;
  33.         Label lbMessage = LoginView1.FindControl("lbMessage") as Label;

  35.         string userName = txtUserName.Text;
  36.         string password = txtPassword.Text;

  38.         LoginResult result = Login(userName, password);

  40.         string userData = "登录时间" + DateTime.Now.ToString();

  42.         if (result == LoginResult.Success) {
  43.             SetUserDataAndRedirect(userName, userData);        
  44.         } else if (result == LoginResult.UserNotExist) {
  45.             lbMessage.Text = "用户名不存在!";
  46.         }else {
  47.             lbMessage.Text = "密码有误!";
  48.         }
  49.     }


  52.     // 添加自定义的值,然后导航到来到此页面之前的位置
  53.     private void SetUserDataAndRedirect(string userName, string userData) {
  54.         // 获得Cookie
  55.         HttpCookie authCookie = FormsAuthentication.GetAuthCookie(userName, true);

  57.         // 得到ticket凭据
  58.         FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(authCookie.Value);

  60.         // 根据之前的ticket凭据创建新ticket凭据,然后加入自定义信息
  61.         FormsAuthenticationTicket newTicket = new FormsAuthenticationTicket(
  62.             ticket.Version, ticket.Name, ticket.IssueDate,
  63.             ticket.Expiration, ticket.IsPersistent, userData);

  65.         // 将新的Ticke转变为Cookie值,然后添加到Cookies集合中
  66.         authCookie.Value = FormsAuthentication.Encrypt(newTicket);
  67.         HttpContext.Current.Response.Cookies.Add(authCookie);

  69.         // 获得 来到登录页之前的页面,即url中return参数的值
  70.         string url = FormsAuthentication.GetRedirectUrl(userName, true);

  72.         Response.Redirect(url);
  73.     }
  74. }
复制代码

我们首先定义了一个枚举,用来说明点击登录后的状态:Success(成功)、UserNotExsit(用户不存在)以及PasswordWrong(用户名存在,但密码错)。Login()方法调用了上一小节我们定义的强类型DataSet中的IsUserValidST()方法,然后返回登录结果。“搜索”按钮的事件处理方法反而非常简单,如果登录失败时在页面显示失败原因,如果登录成功则调用SetUserDataAndRedirect()方法。

在SetUserDataAndRedirect()方法中,我们执行了主要的逻辑,我们先获得了Asp.Net用于验证的Cookie,从Cookie中得到FormsAuthenticationTicket,最后,执行了前面所叙述的步骤,将我们自定义的数据 -- 当前用户的登录时间记录到了一个新构建的FormsAuthenticationTicket中,最后将它进行编码然后赋值给Cookie。接着我们导航到了来到SignIn.aspx之前所在的页面。

Default.aspx 页面预览

默认情况下SignIn.aspx在登录成功后会导航到Default.aspx页面,所以我们先简单的构建一下Default.aspx页面,看看实现的效果:
  1. <asp:LoginView ID="LoginView1" runat="server">
  2.     <AnonymousTemplate>
  3.         欢迎访问, 游客 !      
  4.     </AnonymousTemplate>
  5.     <LoggedInTemplate>
  6.         你好, <asp:LoginName ID="LoginName1" runat="server" /> ! <br />
  7.         <strong>UserData值:</strong>
  8.         <asp:Literal ID="lbUserData" runat="server" />
  9.     </LoggedInTemplate>
  10. </asp:LoginView>
  11. <br />
  12. <asp:LoginStatus ID="LoginStatus1" runat="server" LogoutPageUrl="~/Logout.aspx" LogoutAction="Redirect"  />
复制代码类似地,我们放置了一个LoginView控件,只是这里我们多放置了一个LoginStatus控件。接下来我们看一下后置代码:
  1. protected void Page_Load(object sender, EventArgs e) {

  3.     if (!IsPostBack) {
  4.         if (Request.IsAuthenticated) {
  5.             FormsIdentity identity = User.Identity as FormsIdentity;
  6.             string userData = identity.Ticket.UserData;
  7.             Literal lbUserData = LoginView1.FindControl("lbUserData") as Literal;
  8.             lbUserData.Text = userData;
  9.         }
  10.     }
  11. }
复制代码

最后我们先进行登录,然后再打开Default.aspx页面,会看到类似这样的输出:
asp.net用户登进验证
至此,我们已经看到了如何利用FormsAuthentionTicket来附带额外的用户数据,但是我们应该看到这种做法存在的问题:可以保存的数据过于单一,仅仅只是一个字符串。而我们第一节中所介绍的用户表包括各种类型的各种数据。如果你看过了 从一个范例看XML的应用 这篇文章,你应该立刻想到此处又是一个“单一字符串保存多种不同类型数据”的应用场景,我们可以定义XML来解决。对于这种方式,我不再演示了。实际上,我们可以自定义一个IPrincipal和IIdentity来完成,接下来就来看一下。

自定义IPrincipal和IIdentity

不管是在Windows上还是在Web上,.Net都使用这两个接口来实现用户的身份验证。它们不过是一个接口,实现了这两个接口的类型附带了用户的信息,最终被赋予线程(Windows)或Cookie(Web)来对用户进行验证。我们在App_Code下添加CustomPrincipal和CustomIdentity来实现这两个接口:
  1. public class CustomPrincipal : IPrincipal {

  3.     private CustomIdentity identity;

  5.     public CustomPrincipal(CustomIdentity identity) {
  6.         this.identity = identity;
  7.     }

  9.     public IIdentity Identity {
  10.         get {
  11.             return identity;
  12.         }
  13.     }

  15.     public bool IsInRole(string role) {
  16.         return false;
  17.     }
  18. }

  20. public class CustomIdentity : IIdentity {
  21.     private FormsAuthenticationTicket ticket;
  22.     private HttpContext context = HttpContext.Current;

  24.     public CustomIdentity(FormsAuthenticationTicket ticket) {
  25.         this.ticket = ticket;
  26.     }

  28.     public string AuthenticationType {
  29.         get { return "Custom"; }
  30.     }

  32.     public bool IsAuthenticated {
  33.         get { return true; }
  34.     }

  36.     public string Name {
  37.         get {
  38.             return ticket.Name;
  39.         }
  40.     }

  42.     public FormsAuthenticationTicket Ticket {
  43.         get { return ticket; }
  44.     }

  46.     // 这里可以是任意来自数据库的值,由Name属性取得
  47.     // 需要注意此时已通过身份验证
  48.     public string Email {
  49.         get {
  50.             HttpCookie cookie = context.Request.Cookies["Email"];

  52.             if (cookie==null || String.IsNullOrEmpty(cookie.Value)) {
  53.                 string type = "jimmy_dev[at]163.com";  // 实际应根据name属性从数据库中获得
  54.                 
  55. cookie = new HttpCookie("UserType", type);
  56.                 cookie.Expires = DateTime.Now.AddDays(1);
  57.                 context.Response.Cookies.Add(cookie);
  58.             }

  60.             return cookie.Value;
  61.         }
  62.     }

  64.     public string HomePage {
  65.         get {
  66.             HttpCookie cookie = context.Request.Cookies["HomePage"];

  68.             if (cookie==null || String.IsNullOrEmpty(cookie.Value)) {
  69.                 string name = "www.tracefact.net";      // 实际应根据name属性从数据库中获得
  70.                 
  71. cookie = new HttpCookie("NickName", name);
  72.                 cookie.Expires = DateTime.Now.AddDays(1);
  73.                 context.Response.Cookies.Add(cookie);
  74.             }
  75.             return cookie.Value;
  76.         }
  77.     }
  78. }
复制代码

注意这里的HomePage和Email这两个属性,它们携带了我们的用户数据,这里我仅仅是对它们进行了一个简单的赋值,实际的数值应该是来自于数据库。还要注意获取到它们的值后被保存在了Cookie中,以避免频繁的对数据库进行访问。

定义了实现这两个接口的对象之后,我们还需要把它嵌入到应用程序的生命周期中,具体的做法就是挂接到HttpModule或者是重写Global.asax中的事件,这里我采用了重写Global.asax事件的方式,因此创建一个Global.asax文件,然后添加如下代码:
  1. void Application_OnPostAuthenticateRequest(object sender, EventArgs e) {
  2.     IPrincipal user = HttpContext.Current.User;

  4.     if (user.Identity.IsAuthenticated
  5.         && user.Identity.AuthenticationType == "Forms") {

  7.         FormsIdentity formIdentity = user.Identity as FormsIdentity;
  8.         CustomIdentity identity = new CustomIdentity(formIdentity.Ticket);

  10.         CustomPrincipal principal = new CustomPrincipal(identity);
  11.         HttpContext.Current.User = principal;

  13.         Thread.CurrentPrincipal = principal;
  14.     }
  15. }
复制代码

这段代码很好理解,它不过是在应用程序的PostAuthenticateRequest事件中用我们自定义的CustomPrincipal和CustomIdentity替换掉了默认的IPrincipal和IIdentity实现。

Default.aspx页面预览我们再次对Default.aspx进行修改,添加两个Literal控件,用于显示我们自定义的数值:
自定义Identity中的值:
  1. <br />
  2. <strong>Email:</strong>
  3. <asp:Literal ID="ltrEmail2" runat="server"></asp:Literal><br />

  5. <strong>HomePage:</strong>
  6. <asp:Literal ID="ltrHomePage" runat="server"></asp:Literal><br />
复制代码然后修改页面的代码,使用我们的自定义CustomIdentity,然后从中获得自定义的属性值:
  1. protected void Page_Load(object sender, EventArgs e) {

  3.     if (!IsPostBack) {
  4.         if (Request.IsAuthenticated) {

  6.             CustomIdentity identity = User.Identity as CustomIdentity;
  7.             if (identity != null) {
  8.                 // 获得UserData中的值
  9.                 string userData = identity.Ticket.UserData;
  10.                 Literal lbUserData = LoginView1.FindControl("lbUserData") as Literal;
  11.                 lbUserData.Text = userData;

  13.                 // 获得identity中的值
  14.                 ltrEmail2.Text = identity.Email;
  15.                 ltrHomePage.Text = identity.HomePage;
  16.             }
  17.         }
  18.     }
  19. }
复制代码

如果你现在打开页面,将会看到类似下面的页面:
asp.net用户登进验证
可以看到我们获得了定义在CustomIdentity中的属性。注意这里我只是做了一个示范,因此只在CustomIdentity中包含了Email和HomePage两个属性值,如果看到此处你便以为大功告成,然后将所有未完成的属性都添加到CustomIdentity中去就大错特错了。Identity的目的只是为你提供一个已经登录了的用户的名称,而不是携带所有的用户信息,这些信息应该由其他的类型提供。因此微软才定义了MemberShipUser类型和Profile。
这里,我们最好是定义一个自己的类型来承载用户数据,下面我们就看下如何完成。

自定义类型携带用户数据在App_Code中新建一个SiteUser类,它的实现如下,简单起见,我使用了公有字段而非属性:
  1. public class SiteUser
  2. {
  3.     public string Name;
  4.     public string UserImage;
  5.     public DateTime RegisterDate;
  6.     public string Email;
  7.     public string HomePage;
  8.     public int PostCount;
  9.     public int ReplyCount;
  10.     public byte Level;

  12.     public SiteUser(AuthDataSet.UserRow userRow) {
  13.         this.Email = userRow.Email;
  14.         this.HomePage = userRow.Homepage;
  15.         this.Level = userRow.Level;
  16.         this.Name = userRow.Name;
  17.         this.PostCount = userRow.PostCount;
  18.         this.RegisterDate = userRow.RegisterDate;
  19.         this.ReplyCount = userRow.ReplyCount;
  20.         this.UserImage = userRow.UserImage;
  21.     }

  23.     // 实际应该由数据库获得
  24.     public static SiteUser GetUser(string name) {

  26.         AuthDataSetTableAdapters.UserTableAdapter adapter
  27.             = new AuthDataSetTableAdapters.UserTableAdapter();
  28.         AuthDataSet.UserDataTable userTable = adapter.GetUserTable(name);
  29.         
  30.         if(userTable.Rows.Count >0){
  31.             return new SiteUser((AuthDataSet.UserRow)userTable.Rows[0]);
  32.         }

  34.         // 因为调用这个方法时,name应该是有效的,
  35.         // 如果name无效,直接抛出异常
  36.         throw new ApplicationException("User Not Found");
  37.     }
  38. }
复制代码

它的GetUser()静态方法根据用户的名称获得了一个SiteUser对象,这里需要注意的是通常调用这个方法时,用户已经登录过了,也就是说其name参数总是有效的,因此当搜索数据库找不到记录时,我简单地抛出了异常。

Default.aspx 页面预览我们再次修改Default.aspx,添加用于显示用户详细信息的控件和HTML标记:
  1. <asp:Panel ID="pnlUserInfo" runat="server" Visible="false">
  2.     <table class="mainTable" style="width:280px">
  3.         <tr>
  4.             <th style="background:#f5f5f5;text-align:center" colspan="2">用户信息</th>
  5.         </tr>
  6.         <tr>
  7.             <td colspan="2" style="text-align: center">
  8.                 <asp:Image ID="imgHeadImage" runat="server" />
  9.             </td>
  10.         </tr>
  11.         <tr>
  12.             <td style="width:28%;">姓名:</td>
  13.             <td>
  14.                 <asp:Literal ID="ltrName" runat="server"></asp:Literal>
  15.             </td>
  16.         </tr>
  17.         <tr>
  18.             <td>注册日期:</td>
  19.             <td>
  20.                 <asp:Literal ID="ltrRegisterDate" runat="server"></asp:Literal>
  21.             </td>
  22.         </tr>
  23.         <tr>
  24.             <td>电子邮件:</td>
  25.             <td>
  26.                 <asp:Literal ID="ltrEmail" runat="server"></asp:Literal>
  27.             </td>
  28.         </tr>
  29.         <tr>
  30.             <td>个人主页:</td>
  31.             <td>
  32.                 <asp:HyperLink ID="lnkHomepage" runat="server"></asp:HyperLink>
  33.             </td>
  34.         </tr>
  35.         <tr>
  36.             <td>发帖数:</td>
  37.             <td>
  38.                 <asp:Literal ID="ltrPostCount" runat="server"></asp:Literal>
  39.             </td>
  40.         </tr>
  41.         <tr>
  42.             <td>回帖数:</td>
  43.             <td>
  44.                 <asp:Literal ID="ltrReplyCount" runat="server"></asp:Literal>
  45.             </td>
  46.         </tr>
  47.         <tr>
  48.             <td>用户等别:</td>
  49.             <td>
  50.                 <asp:Image ID="imgUserLevel" runat="server" />
  51.             </td>
  52.         </tr>
  53.     </table>
  54. </asp:Panel>
复制代码然后修改页面的后置代码:
  1. protected void Page_Load(object sender, EventArgs e) {
  2.     if (!IsPostBack) {
  3.         if (Request.IsAuthenticated) {

  5.             // 上面相

  7.             SiteUser user = SiteUser.GetUser(identity.Name);
  8.             PopulateControls(user);
  9.         }
  10.     }
  11. }

  13. private void PopulateControls(SiteUser user) {
  14.     ltrEmail.Text = user.Email;
  15.     ltrName.Text = user.Name;
  16.     ltrPostCount.Text = user.PostCount.ToString();
  17.     ltrRegisterDate.Text = user.RegisterDate.ToShortDateString();
  18.     ltrReplyCount.Text = user.ReplyCount.ToString();
  19.     lnkHomepage.Text = user.HomePage;
  20.     lnkHomepage.NavigateUrl = user.HomePage;

  22.     imgHeadImage.ImageUrl = "~/Images/" + user.UserImage;
  23.     imgUserLevel.ImageUrl =
  24.         String.Format("~/Images/Star{0}.gif", user.Level);

  26.     pnlUserInfo.Visible = true;
  27. }
复制代码

这里,我们从Identity中获得用户的名称,然后再调用SiteUser的GetUser()方法,获得了一个SiteUser对象,最后使用这个SiteUser对象对页面控件进行了赋值。

总结

在这篇文章中我们看到了如何使用Asp.Net内置机制实现用户验证的功能,并且通过FormsAuthenticationTicket的UserData属性、自定义IPrincipal和IIdentity、以及自定义对象三种方式实现了附加 (获取)用户数据。

本文所附带的代码中,还有一些页面只有登录用户才能进行访问,但在这篇文章中我没有演示和说明。使用.Net的验证机制,我们可以通过仅在Web.config设置一下,就拥有了以前需要编码才能实现的限制页面访问的功能。通过这篇文章,我希望大家能够看到,大多数情况下,我们都可以使用.Net的自定义验证系统,而没有必要再重复造轮子去实现自己的验证方式。
hyhyct
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net登录验证码实现方法
10-21
主要为大家详细介绍了asp.net登录验证码实现方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ASP.NET网页微信登录授权,获取用户基本信息
04-24
3、通过access_token和用户的openId获取该用户用户信息 因为第一步必须要经过微信的登录授权,不能网页后端请求,所以先要经过用户同意,通过页面网页请求组装的微信请求链接。请求该链接, 获取code后,后端...
ASP.NET-三种认证Authentication简介
weixin_30752377的博客
03-27 349
ASP.NET 的 认证Authentication主要分为三种1.Form Authentication 用于互联网的认证,自定性强,功能强大,可以用cookie和ssl2.Window Authentication 通常用于公司的内网,适用于域管理的场合3.OpenID / OAuth 通过第三方的认证机制来认证打开网站的属性来自为知笔记(Wiz) 转载于:https:...
ASP.NET Core 运行原理解剖[5]:Authentication
qq_39173779的博客
03-12 353
本章基于 HttpAbstractions 对 ASP.NET Core 认证系统做了一个简单的介绍,但大多是一些抽象层次的定义,并未涉及到具体的实现。因为现实中有各种各样的场景无法预测,HttpAbstractions 提供了统一的认证规范,在我们的应用程序中,可以根据具体需求来灵活的扩展适合的认证方式。不过在 Security 提供了更加具体的实现方式,也包含了 Cookie, JwtBearer, OAuth, OpenIdConnect 等较为常用的认证实现。
.NET应用程序实现身份验证和授权
最新发布
wangnanofspirit的博客
05-12 421
在.NET应用程序中实现身份验证(Authentication)和授权(Authorization)的常见方法通常依赖于多种技术和框架,这些技术和框架共同确保了应用程序的安全性。
asp.net 的认证 (authentication) 和授权 (authorization)
qqqgg的专栏
05-12 5247
1.authorization是用过的,用于访问webapi是否有访问权限。在默认管道模型的Module里,有3个(authentication)和2个authorization的Module &lt;httpModules&gt;            &lt;add name="OutputCache" type="System.Web.Caching.OutputCacheModule" /...
ASP.NET 登录验证
zhangkaihua2010的专栏
04-13 1267
最近系统中要添加一个用户是否登录的判断,没登陆就不允许直接查看相关的页面。经过了3个阶段的摸索,终于解决。 虽然解决的办法不复杂,但通过不同的实现方式进行对比总结,可以加深对.NET运行机制的理解。 1.PageBase基类 在PageBase基类中重载OnInit方法,添加对登录Session的判断,如果未登录重定向跳转到登录页面;如已登录可不用做任何操作。 参
ASP.NET资源新闻网站
03-26
修改留言本验证控件不能判断的错误,在此感谢XYZ(21724075)提出; --2006-9-11 Version1.0正式版发布; 采用多层的思想把代码重新写了一遍,另外在写的过程中偶发现这个思想的确是很好,比如数据库的更换,功能上的...
asp.net core2.2多用户验证与授权示例详解
10-17
主要给大家介绍了关于asp.net core2.2多用户验证与授权的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
ASP.NET连接数据库登入
04-16
ASP.NET是一种基于.NET框架的服务器端编程模型,用于构建动态网站、Web应用程序和Web服务。在ASP.NET中,连接数据库并实现用户登录是常见的功能需求,尤其对于网站来说,安全的用户登录系统至关重要。本节将详细介绍...
购物网站ASP.NET
04-10
综上所述,这个“购物网站ASP.NET”项目展示了如何使用C#和ASP.NET来构建一个完整的电商解决方案,涵盖了从用户交互到后台管理的所有关键环节。对于想要学习或提升ASP.NET开发技能的人来说,这是一个很好的实践案例...
ASP.NET 登陆验证+数据库访问
07-29
该源代码是完整的登陆+数据库连接+数据增删查改操作
ASP.NET登录验证码解决方案
weixin_30827565的博客
07-23 845
目录 #验证码效果图 #代码 0、html代码 1、Handler中调用验证码生成类 2、验证码图片绘制生成类 3、高斯模糊算法类 #注意 #参考 在web项目中,为了防止登...
asp.net中常用的几种身份验证方式
java开发指南博客 【转载】
06-03 480
前言 在B/S系统开发中,经常需要使用“身份验证”。因为web应用程序非常特殊,和传统的C/S程序不同,默认情况下(不采用任何身份验证方式和权限控制手段),当你的程序在互联网/局域网上公开后,任何人都能够访问你的web应用程序的资源,这样很难保障应用程序安全性。通俗点来说:对于大多数的内部系统、业务支撑平台等而言,用户必须登录,否则无法访问和操作任何页面。而对于互联网(网站)而言,又有些差异,因为...
ASP.Net 2.0窗体身份验证机制详解(FormsAuthentication)
编程资料大全
10-07 333
本篇文章介绍了在ASP.Net 2.0如何做窗体身份验证,并且讲解了IIS和ASP.Net2.0窗体身份验证机制是如何结合在一起的。我们还会详细讲解一下2.0中关于窗体身份验证一个类:FormsAuthenticationModule。 l 综述 当某一个用户使用用户名成功登陆网站时,FormsAuthentication(窗体身份验证机制,下面统一使用英文术语) 将会创建一个authe...
Asp.net windows authentication 简单流程
野狼位位的博客
03-13 1391
API 程序的认证过程:编写api程序在startup.cs中的configureServices中添加services.AddAuthentication(IISDefaults.AuthenticationScheme)在launchSettings.json中将 :"windowsAuthentication": true,    "anonymousAuthentication": tru...
asp.net获取session进行简单的用户登录验证
热门推荐
hoho_12
03-31 2万+
.net 获取session 用于简单的用户登录验证
asp.net中的窗体身份验证
01-12
ASP.NET中的窗体身份验证是指在ASP.NET中使用表单身份验证、Windows身份验证、Passport身份验证等方式来验证用户身份的过程。下面是ASP.NET中的窗体身份验证相关知识点: 1. ASP.NET中的身份验证方式: ASP.NET中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值