ASP.NET基于表单的验证实现网上安全访问,管理

最新推荐文章于 2024-08-20 19:07:12 发布
最新推荐文章于 2024-08-20 19:07:12 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: ASP.net 文章标签: asp.net authorization authentication forms asp server

什么时候用?

比如ASP.NET程序的一个Admin文件夹,是专门进行网上管理用的(比如后台数据维护),一般访问者不能访问里面的所有文件.只有通过验证的用户才能访问.按照以前的ASP的做法,是在用户通过Login页面时,设置Session(即Cookie)来判断用户是否通过验证,每个Admin文件夹里的页面文件都要设置验证语句,而且并不是很安全,这个时候,ASP.NET的4种验证方式之一:基于表单的验证就派上了用场.您做的仅是在Admin文件夹里面放置一个只有几行语句的Web.config文件.

怎样用?

这个问题您可以去看书籍上的介绍(Wrax出版的《ASP.NET高级编程》),不过,我这里有自己常用的方式,不妨看看.
文件目录为:
 +BIN
 +Admin
    - *.aspx
    - web.config //Admin文件夹下的web.config
 login.aspx
 web.config //根目录的web.config
1,根目录的web.config的配置

<configuration>
  <system.web>
   <authentication mode="Forms">
    <forms name="mycookiename" loginUrl="login.aspx" protection="All" timeout="30">
    </forms>
   </authentication>
   <authorization>
    <allow users="*"/>
   </authorization>
  </system.web>
</configuration>

2,Admin文件夹下的web.config的配置

<configuration>
  <system.web>
   <authorization>
    <deny users="?" />
   </authorization>
  </system.web>
</configuration>
3,login.aspx的配置
此页面就是一个验证登陆页面:
<asp:textbox id=textname runat=server/> 帐号
<asp:textpassword id=textpassword runat=server> 密码
<asp:checkbox id=mycheckbox runat=server/> 是否记住密码,永久登陆
<asp:button runat=server onclick=btnloginclick text=登陆/>
处理事件1(当用户点击登陆按钮时候)
void  btnloginclick(Object sender,EventArgs e)
 {
 if(用户通过验证)//这一点可以在bin目录放置自己的dll文件来验证用户,返回一个bool.
 {
 FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked);//这句用来存储Cookie来说明用户UserName.Text通过的验证,可以访问Admin文件夹了,另外,如果那个永久登陆的checkbox被checked了,则这个验证Cookie的失效日期可以长达50年(默认为浏览器时间).
 ResponseRedirect("Admin");//这时,就可以畅通无阻访问Admin文件夹了.
 }
}
处理事件2(当用户已经通过验证,就没有必要在访问login.aspx时候再次输入密码了)
这个由表单验证自动完成,相当于:
void  Page_Load(Object sender,EventArgs e)
 {
 if(Context.User.Identity.IsAuthenticated)Response.Redirect("Admin");
}

4,注销验证:
用FormsAuthentication.SignOut();

其实,上述方案并不是很安全的解决方案.只是很实用,简单,又比较安全的验证解决方案.

最近阅读了Wrax版的《ASP.NET安全性高级编程》,里面涉及了基于Forms的验证,发现自己有很多误解,于是决定对《ASP.NET基于表单的验证实现网上安全访问,管理》一文补充与更正.
  
  文件目录为:
  
  
   +BIN
   +Admin
   -index.aspx
   - test.aspx
   - *.aspx
   - web.config //Admin文件夹下的web.config
   login.aspx
   web.config //根目录的web.config
   index.aspx
  
  
  (-)看看FormsAuthentication的重要方法以及属性(更多search MSDN)
  
  FormsCookieName
   返回用于当前应用程序的已配置 Cookie 名称。
  GetAuthCookie
   为给定的用户名创建身份验证 Cookie。这不会将 Cookie 设置为传出响应的一部分,因此应用程序对如何发出该 Cookie 有更多的控制权限。
  Authenticate
   给定所提供的凭据,尝试根据包含在已配置凭据存储区中的凭据对凭据进行验证。
  GetRedirectUrl
   返回导致重定向到登录页的原始请求的重定向 URL。
  HashPasswordForStoringInConfigFile
   给定标识哈希类型的密码和字符串,该例程产生一个适合存储在配置文件中的哈希密码。
  RedirectFromLoginPage
   将已验证身份的用户重定向回最初请求的 URL。
  {=========
  备注
  RedirectFromLoginPage 方法重定向到在查询字符串中指定的返回 URL 键。例如,在 URL http://www.contoso.com/login.aspx?ReturnUrl=caller.aspx 中,caller.aspx 是 RedirectFromLoginPage 所重定向到的返回 URL。如果返回键不存在,则 RedirectFromLoginPage 将重定向到 Default.aspx。
   =========}
  SetAuthCookie
   创建身份验证票并将其附加到 Cookie 的传出响应的集合。它不执行重定向。
  SignOut
   移除身份验证票.
  
  (二)让我们一步一步彻底明白页面是怎样验证的
  
  再次说明我们验证的目的:
   Admin文件夹是管理员进行后台管理的"专区",只有通过login.aspx登陆验证后才能进入Admin文件夹里面访问里面的所有页面,所有,我们必须通过填写login.aspx的表单来验证用户是否是管理员.
  
  (1) 假设我们在根目录的index.aspx设置一个连接<a href=login.aspx>管理员登陆</a>,管理员可以通过这个连接,访问login.aspx进行填写表单.这里出现了一个奇妙的思维定势的问题,我们习惯这个"管理员登陆"连接来连接到login.aspx,其实在这里,我们错了,应该"直接"连接到Admin文件夹(或者里面的任何页面),有人问:"这岂不是普通访问者也可以通过这个连接直接连接到了Admin的页面了吗?",我说:"对!,这就是基于表单验证的美妙之处,不用担心这个问题,看看我们的2个web.config就明白了!".
  
  看看Admin文件夹里面的web.config 

<configuration>  
    <system.web>  
        <authorization>  
            <deny users="?" />  
        </authorization>  
    </system.web>  
</configuration>

 
  有一个<deny users="?"/>,就是说没有通过验证的匿名用户绝对禁止访问这个文件夹-Admin.
  那么,如果匿名用户真的这样做了(试图连接Admin文件夹里面的页面)会怎样呢?哈哈,会定向到login.aspx页面的,看看根目录的web.config 

<configuration>  
    <system.web>  
        <authentication mode="Forms">  
            <forms name="mycookiename" loginUrl="login.aspx" protection="All" timeout="30">  
            </forms>  
        </authentication>  
        <authorization>  
            <allow users="*"/>  
        </authorization>  
    </system.web>  
</configuration>

根目录的web.config设置了验证方式,以及相应的处理情况.
  <authentication mode="Forms">来设置了验证方式mode="Forms";
  <forms name="mycookiename" loginUrl="login.aspx" protection="All" timeout="30"/>
  看到了loginurl="login.aspx"了吗?就是说,如果匿名用户试图连接受保护的页面(Admin文件夹),则定向到login.aspx,来让这个匿名用户登陆!
  
  (2)我们点击了那个"管理员登陆"链接,来到了login.aspx.此时你会发现,URL地址其实是:login.asxp?ReturnUrl=admin/index.asp(其实就是我们所请求的页面),如果我们在login.asxp通过了验证,那么,页面会自动跳转到那个ReturnUrl.
  
  看看login.aspx: 

<asp:textbox id=textname runat=server/> 帐号 
<asp:textpassword id=textpassword runat=server> 密码 
<asp:checkbox id=mycheckbox runat=server/> 是否记住密码,永久登陆 
<asp:button runat=server onclick=btnloginclick text=登陆/>

处理事件1(当用户点击登陆按钮时候) 

void  btnloginclick(Object sender,EventArgs e) 
    if(用户通过验证)//这一点可以在bin目录放置自己的dll文件来验证用户,返回一个bool. 
    
        FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked); 
    } 
}

1,FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked);的作用:
  ->设置一个验证Cookie,说明用户已经通过验证.
  ->返回刚才您所请求的页面(Admin/index.aspx); 

2,这句话相当于这两句:
  FormsAuthentication.SetAuthCookie(UserName.Text,mycheckbox.Checked);
  Response.Redirect(FormsAuthentication.GetRedirectUrl(UserName.Text,mycheckbox.Checked); 
3,如果mycheckboxt控件已经选择,则,写入cookie,保存50年,当然,我们可以更改这个时间: 

处理事件1(当用户点击登陆按钮时候)   
  

void btnloginclick(Object sender,EventArgs e) 
    if(用户通过验证)//这一点可以在bin目录放置自己的dll文件来验证用户,返回一个bool. 
        
             HttpCookie authenticationCookie=FormsAuthentication.GetAuthcookie(UserName.Text,mycheckbox.Checked); 
             authenticationCookie.Expires=DateTime.Now.AddDays(3);//3天 
             Response.Cookies.Add(authenticationCookie); 
             Response.Redirect(FormsAuthentication.GetRedirectUrl(UserName.Text,mycheckbox.Checked); 
        }
}

4,这里有个bug,我不知道为什么会这样,我们这样:
  处理事件1(当用户点击登陆按钮时候) 

void  btnloginclick(Object sender,EventArgs e) 
    if(用户通过验证)//这一点可以在bin目录放置自己的dll文件来验证用户,返回一个bool. 
    
         FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked); 
         Response.Redirect("http://www.QuickResponser.com"); 
     } 
}

会怎样呢?按理说应该执行FormsAuthentication.RedirectFromLoginPage(UserName.Text, mycheckbox.Checked);
  然后跳转到请求的页面admin/index.aspx.
  可是,我在实际试验过程中,发现页面执行了Response.Redirect("http://www.QuickResponser.com");
  oh,mygod!!!!,郁闷(谁给我个正确的解释呢?QQ:154222225 Mail:root@3ney.com);
  5,我们的链接不要涉及到直接连接到login.aspx,为什么?假设我们直接登陆login.aspx,那么这个URL就没有参数ReturnUrl,但是,默认是Default.aspx(或者index.aspx....),当管理员通过验证时候,页面不是直接跳转到根目录的默认页面index.aspx.
  (如果直接连接的话,也是可以的,利用上面的bug解决)
  
  参考:
  1,《ASP.NET高级编程》--Wrax
  2,《ASP.NET安全性高级编程》--Wrax
  =============================
  废话很多,希望大家能看明白.
  基于表单的验证涉及的其他问题:
  1,无Cookie的验证
  2,验证数据的存储方式
  3,基于角色的表单验证
  .....

justmuch
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
身份验证(禁止直接访问页面)
段琳琳
06-13 5753
在Web.config中写入下面代码,就可以实现不登陆无法访问其他页面的效果      (一)                              //注:WebLogin.aspx未登录页面                             -->                           (二) 可以指定允许登录
详解ASP.NET MVC Form表单验证
10-22
ASP.NET MVC中,除了基本的表单验证,还可以实现基于角色和用户的权限验证。例如,使用特性(Attribute)如`[Authorize]`,`[RequestAuthorize]`等来限制特定Action或Controller的访问权限。 1. **角色验证**:`...
有关Asp.net中Session验证问题
girlhappy的专栏
08-06 676
 在Asp.net中Session验证问题 可以先写一个页面的基类然后每个页面去继承基类页面(BasePage.aspx)在基类文件中定义一个Session验证的方法:///     /// 验证是否登陆    ///        /// 没有登陆返回登陆页面    protected void ValidUserInfo()    {        #region        if (S
Spring Filter过滤器,Spring拦截未登录用户权限限制
生活需要用心
06-21 762
实现的功能:判断用户是否已登录,未登录用户禁止访问任何页面或action,自动跳转到登录页面。 比较好的做法是不管什么人都不能直接访问jsp页面,要访问就通过action,这样就变成了一个实实在在的权限控制了。 那么就有3种方法可以解决楼主的问题 1,直接使用filter 2,直接使用webwork的interceptor, 3,将action交给spring管理,使用sprin...
asp.net窗体验证123
weixin_33835103的博客
06-08 174
ASP.NET几种安全验证方法 如何运用 Form 表单认证 ASP.NET安全认证,共有“Windows”“Form”“Passport”“None”四种验证模式。“Windows”与“None”没有起到保护的作用,不推荐使用;“Passport”我又没用过,唉……所以我只好讲讲“Form”认证了。我打算分三部分: 第一部分 —— 怎样实现From 认证; 第二部分 —— Form 认证的...
第五章 ASP.NET MVC 表单验证
qq_45308912的博客
05-02 1295
一.jQuery插件验证 (1.)jQuery的Validate插件封装了常用的验证规则,通过此插件可以简化表单验证工作 二.模型注解验证 (1.)模型注解验证主要是在服务器端对数据进行验证。这样可以使用声明语法在模型中指定验证的规则 (2.)模型注解验证API位于 System.ComponentModel.DataAnnotations 命名空间 ...
ASP.NET Core Blazor 表单自定义验证
elie_yang的博客
03-21 1195
Blazor框架的表单验证方便快捷:EditForm+模型绑定+数据注解(Data Annotations) 自定义表单验证可以支持更加复杂的输入验证规则,学习体验如下: 实现的效果如下图所示: 如果输入的不是qq邮箱,或者 选择某个类型时,描述必填的业务验证实现的代码如下: 1:模型数据注解添加: public class DemoDataModel { [Required(ErrorMessage ="名称不可为空")] [Strin.
Asp.net Mvc表单验证气泡提示效果
01-03
本文实例为大家分享了Asp.net Mvc表单验证的制作代码,供大家参考,具体内容如下 将ASP.NET MVC或ASP.NET Core MVC的表单验证改成气泡提示: //新建一个js文件(如:jquery.validate.Bubble.js),在所有要验证的页面...
实例ASP.NET基于表单的角色身份验证
04-22
通过以上步骤,我们可以理解并实现一个基本的ASP.NET基于表单的身份验证系统。在实际项目中,还需要考虑更多细节,如错误处理、密码加密存储、多因素认证等,以确保系统的安全性和用户体验。通过深入学习和实践,你...
基于asp.net+access实现的通讯录管理系统
05-05
《基于ASP.NET+Access实现的通讯录管理系统》是一款适合初学者和进阶学习者实践的项目,它结合了Web开发技术和数据库管理,为用户提供了便捷的联系人管理功能。在这个系统中,ASP.NET作为前端开发框架,负责处理用户...
ASP.NET中的身份验证:.NET安全性指导
02-21
ASP.NET中的身份验证是.NET安全性框架的关键组成部分,用于保护应用程序免受未经授权的访问。这篇文章深入探讨了设计服务器应用程序时安全性的关键考量因素,包括身份验证、权限管理、数据传输保护、模拟和代理机制...
vue中怎样实现 路由拦截器(当用户没有登录的时候,跳转到登录页面,已经登录的时候,不能跳转到登录页,除非后台token失效)
热门推荐
ShiYadong的专栏
06-28 1万+
现在 我们需要实现这样 一个功能,登录拦截 其实就是 路由拦截,首先在定义路由的时候就需要多添加一个自定义字段requireAuth,用于判断该路由的访问是否需要登录。如果用户已经登录,则顺利进入路由, 否则就进入登录页面。在路由管理页面添加meta字段 router/index.js文件,例如,在用户直接跳转/manage 路径下的时候,实现路由拦截 { path:...
php使用 _before_index() 来实现访问页面前,判断登录
zhaoyangjian724的专栏
07-07 3077
C:\wamp\www\DEVOPS\Home\Lib\Action: <?php class IndexAction extends Action { function index(){ $this->display(); } function do_login(){ //获取用户名和密码信息,和数据库中比对 echo 111111111; dump($_
asp.net MVC 根据菜单树类别不同,动态加载视图
最新发布
战族狼魂的博客
08-20 264
这样,当用户访问不同的菜单项时,ASP.NET MVC 将根据类别加载相应的视图,并显示特定类别的内容。在视图中,根据每个菜单项的类别动态加载对应的部分视图。如果你想在用户点击菜单项时动态加载部分视图,可以使用 Ajax。这样,点击菜单项时,将通过 Ajax 请求加载相应的视图内容。动态加载视图,确保视图根据菜单项的类别正确显示。在控制器中,构建你的菜单树,并传递给视图。首先,创建不同类别的部分视图。创建与每个类别对应的部分视图,例如。其他类别的部分视图可以类似创建。属性,表示菜单项的类别。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值