最简单的Forms验证实现方法:
FormsAuthentication.SetAuthCookie()方法,传递一个登录名即可
FormsAuthentication.SignOut()方法退出
Forms验证可以保护受限制的页面比如有些页面未登录不能访问或者有的人没有权限访问
这些东西在web.Config中都可以配置
比如 有一个名字为MyInfo.aspx的页面要求这个页面的访问者必须为已经登陆的用户
可以这样子配置
<location path="MyInfo.aspx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
但是这样子写如果页面多的话会导致代码过于冗杂,所以可以在代码设计初期,把有相同权限的功能模块
放在一起,所以forms验证可以在Web.config中可以配置一个目录,将多个页面放在同一个目录里,
<location path="Admin">
<system.web>
<authorization>
<allow roles="Admin"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
需要注意的是 allow和deny的顺序不能写错了,UrlAuthorizationModule将按照这个顺序依次判断的
如果这个页面只能某一类人访问,则需要在最后一条规则设置 <deny users="*"/>
同样的我们可以在allow和deny中指定多个用户,使用user,deny属性时记得要用逗号分隔开用户的列表,
问号?表示的匿名用户(不需要),星号*表示的所有用户
froms的身份验证是通过cookie来维持的,而且他的cookie是加密的
AuthenticateRequest事件一般在global.asax文件中,当一个用户进行身份验证的时候,HttpApplication对象就会触发
AuthenticateRequest事件,也就是意味着每次对应用程序进行页面请求的时候都会触发这个事件,实际上是调用相应的身份验