Form身份验证基本原理

最新推荐文章于 2022-02-10 14:58:25 发布
最新推荐文章于 2022-02-10 14:58:25 发布
阅读量1.6k 收藏 2
点赞数
分类专栏: asp.net c#
c# 同时被 2 个专栏收录
26 篇文章 0 订阅
订阅专栏
asp.net
16 篇文章 0 订阅
订阅专栏

先说说Form身份验证思路:

假设用户要浏览需要权限的页面,此时,安全机制先启动,检查当前用户请求是否持有用户票据的Cookie

如此Cookie存在:解析Cookie中的票据信息,获得用户角色,创建用户标识

否则:认为用户无权浏览该页面,跳转至登入页面,登入成功后重定向到所请求页面^-^

 

解释下我的文件目录:

-> Admin文件(该文件目录下内容用户必登入且角色为"Admin"才可浏览)

              -> Admin.aspx

-> User.aspx(该文件只要登入可浏览)

-> Login.aspx(用户登入页面,未登入可浏览)

-> Global.asax

-> web.config

 

1.web.config文件

[xhtml]  view plain copy
  1. <configuration>  
  2.   
  3.   <!-- 配置目录"Admin"下的页面浏览权限 -->  
  4.   <location path="Admin">  
  5.     <system.web>  
  6.       <authorization>  
  7.         <!-- 拒绝匿名用户访问 -->  
  8.         <deny users="?" roles="User"/>  
  9.         <!--  
  10.             <allow roles="Admin"/>  
  11.             <deny users="?"/>  
  12.             原先这样配置但导致角色"User"也可以访问,不知为何?  
  13.         -->  
  14.       </authorization>  
  15.     </system.web>  
  16.   </location>  
  17.   
  18.     <system.web>  
  19.           <!--  
  20.             通过 <authentication> 节可以配置 ASP.NET 用来   
  21.             识别进入用户的  
  22.             安全身份验证模式。   
  23.         -->  
  24.      <authentication mode="Forms">  
  25.       <forms loginUrl="Login.aspx" defaultUrl="User.aspx" name=".LoginFormsTicket" path="/" timeout="40" protection="All">  
  26.         <credentials passwordFormat="Clear">  
  27.           <user name="lulu" password="66"/>  
  28.         </credentials>  
  29.       </forms>  
  30.     </authentication>  
  31.       
  32.     <!-- 配置网站页面浏览权限 -->  
  33.     <authorization>  
  34.       <!-- 拒绝:?(匿名用户) *(所有用户) -->  
  35.       <deny users="?"/>  
  36.     </authorization>  
  37.   
  38.     </system.web>  
  39. </configuration>  

 

再补充下对Forms身份验证配置文件各项的说明^^:

[c-sharp]  view plain copy
  1. /* 
  2. <forms>节点中的属性含义: 
  3. name:定义用于存储用户票据的唯一Cookie名 
  4. loginUrl:将用户从定位到哪个页面登入 
  5. defaultUrl:当用户登入成功后默认跳转页面 
  6. timeout:设置用于存储用户票据的唯一Cookie的持续时间(分钟),此时间相对,每次用户进行验证,该Cookie期限被重新设置 
  7. path:设置Cookie的保存路径 
  8. protection有四个值: 
  9.     Encryption:对Cookie内容加密 
  10.     Validation:向Cookie内容添加MAC(消息验证代码),以便服务器判断Cookie是否被篡改 
  11.     None:禁用加密和篡改检查 
  12.     All:同时启用加密和篡改检查 
  13. */  

 

2.Login.aspx页面

[c-sharp]  view plain copy
  1. //单击登入按钮事件处理  
  2.     protected void login_Click(object sender, EventArgs e)  
  3.     {  
  4.         //通过和配置文件<credentials>节点中定义的用户信息比对,验证用户名密码是否合格  
  5.         //合格  
  6.         if (FormsAuthentication.Authenticate("lulu""66"))  
  7.         {  
  8.             //创建用户身份验证票据  
  9.             FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(  
  10.                 1,                                        //版本信息  
  11.                 "lulu",                                   //票据中保存的用户标示  
  12.                 DateTime.Now,                             //保存票据的Cookie创建时间  
  13.                 DateTime.Now.AddMinutes(40),              //保存票据的Cookie过期时间  
  14.                 false,                                    //保存票据的Cookie不永久保存  
  15.                 "Admin",                                   //票据中的用户自定义字段,此处用于存放当前用户的角色信息  
  16.                 FormsAuthentication.FormsCookiePath       //保存票据的Cookie的保存路径(在Web.config文件中配置)  
  17.             );  
  18.   
  19.             //创建一用于保存用户身份验证票据的Cookie  
  20.             //该Cookie的名在配置文件中定义  
  21.             //该Cookie的值为加密(必须加密!)的数据票据  
  22.             HttpCookie ticketCookie = new HttpCookie(FormsAuthentication.FormsCookieName, FormsAuthentication.Encrypt(ticket));  
  23.   
  24.             //将保存有用户身份验证的票据Cookie加入响应流  
  25.             Response.Cookies.Add(ticketCookie);  
  26.             //返回导致重定向的原始页面请求页面  
  27.             Response.Redirect(FormsAuthentication.GetRedirectUrl("lulu",false), true);  
  28.         }  
  29.         else  
  30.         {  
  31.             Response.Write("用户名密码验证失败!");  
  32.         }  
  33.     }  

 

3.Global.asax文件

[c-sharp]  view plain copy
  1. //在安全模块建立起当前用户的有效的身份时,该事件被触发。在这个时候,用户的凭据将会被验证  
  2.     void Application_AuthenticateRequest(object sender, EventArgs e)  
  3.     {  
  4.         //获取当前请求中保存有用户身份票据的Cookie  
  5.         HttpCookie ticketCookie = Request.Cookies[FormsAuthentication.FormsCookieName];  
  6.   
  7.         //如该Cookie不为空,如存在身份票据,解析票据信息,创建用户标识,获取用户角色  
  8.         if (ticketCookie != null)  
  9.         {  
  10.             //获取用户票据  
  11.             FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(ticketCookie.Value);  
  12.   
  13.             string[] roles = ticket.UserData.Split(',');  
  14.               
  15.             //创建用户标识  
  16.             FormsIdentity identity = new FormsIdentity(ticket);  
  17.               
  18.             //创建用户身份主体信息  
  19.             System.Security.Principal.GenericPrincipal user = new System.Security.Principal.GenericPrincipal(identity, roles);  
  20.   
  21.             //把由用户标识,角色信息组成的户身份主体信息保存在User属性中  
  22.             HttpContext.Current.User = user;  
  23.         }  
  24.     }    

 

4.在User.aspx等页面中判断

[c-sharp]  view plain copy
  1. //判断用户是否验证  
  2.  if (Page.User.Identity.IsAuthenticated)  
  3.  { }  
  4.   
  5.  //确定当前用户是否属于自定角色  
  6.  if (Page.User.IsInRole("Admin"))  
  7.  { }  

<authentication mode="Forms"/>

1 指示是否发生身份验证的方法
System.Web.HttpContext.Current.User.Identity.IsAuthenticated;
或者Request.IsAuthenticated;

2 获取用户名的方法
   FormsIdentity Id = (FormsIdentity)HttpContext.Current.User.Identity;
   FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份验证票
   string userName=Ticket.Name;
或者string userName=User.Identity.Name;

3 登录的部分代码
 

if (FormsAuthentication.GetRedirectUrl(userName, false).EndsWith("default.aspx"))

 {

  //FormsAuthentication.SetAuthCookie(userName, persist.Checked);

   FormsAuthenticationTicket authTicket = new

   FormsAuthenticationTicket(1,userName,DateTime.Now,

    DateTime.Now.AddMinutes(20),persist.Checked, role);

   string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密

   HttpCookie authCookie =

    new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

   Response.Cookies.Add(authCookie);

 

  HttpContext.Current.Response.Redirect("default.aspx"true);

 }

 else

 {

  //FormsAuthentication.SetAuthCookie(userName, persist.Checked);

  FormsAuthenticationTicket authTicket = new

   FormsAuthenticationTicket(1,userName,

    DateTime.Now,DateTime.Now.AddMinutes(20),persist.Checked, role);

  string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密

  HttpCookie authCookie =

    new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);

  Response.Cookies.Add(authCookie);

 

  HttpContext.Current.Response.Redirect(

    FormsAuthentication.GetRedirectUrl(userName, false), true);

 }

 

================================================

构建基于forms的验证机制过程如下:
1,设置IIS为可匿名访问和asp.net web.config中设置为form验证
2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用)
3,使用FormsAuthenticationTicket创建一个Cookie并回发到客户端,并存储
角色到票中,如:
 

FormsAuthentication.SetAuthCookie(Username,true | false)

cookies保存时间:

HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName].Expires=DateTime.Now.AddDays(1)

 

如果需要存储角色,采用:

FormsAuthenticationTicket authTicket = new

FormsAuthenticationTicket(

1, // 版本号。

txtUserName.Text, // 与身份验证票关联的用户名。

DateTime.Now, // Cookie 的发出时间。

DateTime.Now.AddMinutes(20),// Cookie 的到期日期。

false// 如果 Cookie 是持久的,为 true;否则为 false。

roles ); // 将存储在 Cookie 中的用户定义数据。

roles是一个角色字符串数组

string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密

 

存入Cookie

HttpCookie authCookie =

new HttpCookie(FormsAuthentication.FormsCookieName,

encryptedTicket);

 

Response.Cookies.Add(authCookie);

 

 

FormsAuthentication.SignOut() 登出

 

 

======================

 

string userName = User.Identity.Name;   //获取与身份验证票关联的用户名

Response.Write(userName);

 

FormsIdentity Id = (FormsIdentity)HttpContext.Current.User.Identity;

FormsAuthenticationTicket Ticket = Id.Ticket; //取得身份验证票

string userName1 = Ticket.Name;

Response.Write("<br>" + userName1);//获取与身份验证票关联的用户名

 

string fd = Ticket.UserData.ToString();

 

Response.Write("<br>"+fd);//获取用户自定义数据

 

 

===============================================

   <authentication mode="Forms">

    <forms name="formvalidata" loginUrl="admin/login.aspx" timeout="30" path= "/">

 

    </forms>

   </authentication>

 

 

   <globalization

   requestEncoding="GB2312"

   responseEncoding="GB2312"

   />

 

    </system.web>

 

<location path="admin">

   <system.web>

    <authorization>

     <deny users="?"/>

    </authorization>

   </system.web>

</location>

 

</configuration>

mibb005
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
网络安全——身份认证与PKI原理
Yushiba972的博客
10-17 5534
文章总结了网络安全中PKI系统的组成以及特点、运作机制,并介绍了RADIUS协议、Kerberos协议、SSL协议三大身份认证协议。
信息安全-认证技术原理与应用
我的个人博客
08-24 3622
认证技术原理与应用、认证概述、认证类型与认证过程、认证技术方法、认证主要产品与技术指标、认证技术应用
【统一身份认证】——概念扫盲
幸运的梦之星
02-10 7720
文章目录一、为什么要有统一身份认证二、什么是统一身份认证三、统一身份认证的实现方案 一、为什么要有统一身份认证 随着企业业务系统的增多,每个系统都有一个用户名和密码,那么员工需要记住所有系统的用户名和密码,员工输错密码的可能性就会大大增加。如果员工信息发生变化,那么每个系统都要随着改变,对于员工以及员工管理人员来说是及其不方便的。在这个时候,我们就需要使用一套统一的员工信息,包括用户名和密码,对员工来进行统一管理,从而提高效率。 所以统一身份认证有如下好处: ○ 统一身份数据源,将复杂的用户名和密码统一化,
基于Token的身份验证原理
骏马逸动,心随你动的博客
07-01 1298
目录 1 发展史 2 Cookie 3 Session 3.1cookie和session的区别 4 Token 4.1 传统方式——基于服务器的验证 4.2 基于服务器验证方式暴露的一些问题 4.3 基于Token的验证原理 4.5 Tokens的优势 1 发展史 1、很久很久以前,Web 基本上就是文档的浏览而已, 既然是浏览,作为服务器, 不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议, 就是请求加响应, 尤其是我不用记住是谁刚刚发了HTTP请求..
实例ASP.NET基于表单的角色身份验证
04-22
在ASP.NET中,基于表单的身份验证Form-Based Authentication)是一种常见的用户认证方式,它允许开发者创建自定义登录页面来验证用户凭证,而不是依赖于服务器的默认机制。这种验证方式非常适合那些需要自定义用户...
浅谈asp.net Forms身份验证详解
01-20
首先,了解Forms身份验证基本原理。当用户尝试访问受保护的资源时,如果尚未登录,服务器会将用户重定向到指定的登录页面(如Login.aspx)。在登录页面,用户输入用户名和密码,系统会验证这些凭据的有效性。验证...
asp.net基于Form身份验证的相关资料,覆盖面比较全
07-15
ASP.NET中的Form身份验证是一种广泛使用的用户认证机制,它允许开发者构建安全的Web应用程序。本文将深入探讨基于Form身份验证原理、配置以及在实际应用中的实现方式。 1. **Form身份验证概述** - Form身份...
使用表单身份验证的Windows身份验证
04-11
首先,理解这两种身份验证基本原理是至关重要的。Windows身份验证是透明的,用户通常不需要输入用户名和密码,系统会自动使用操作系统上下文进行验证。表单身份验证则是通过用户提交的表单数据(如用户名和密码)...
Asp.net的Form认证
05-01
**一、Form认证的基本原理** Form认证基于HTTP协议的工作原理,它不依赖于服务器端的Session状态,而是通过在客户端存储认证票据(通常为Cookie)来保持用户的登录状态。当用户成功登录后,服务器会生成一个加密的...
FORM 身份认证实例
08-23
使用FORM认证的一个实例,权限使用或运算得到。
Forms身份验证 知识总结
lihao199611287011的博客
07-25 2004
最简单的Forms验证实现方法: FormsAuthentication.SetAuthCookie()方法,传递一个登录名即可 FormsAuthentication.SignOut()方法退出 Forms验证可以保护受限制的页面比如有些页面未登录不能访问或者有的人没有权限访问 这些东西在web.Config中都可以配置 比如 有一个名字为MyInfo.aspx的页面要求这个页面的访问者必须为已...
身份认证的概念和原理(转载电子书)数字签名和防止篡改摘要技术的使用
zy103118的博客
09-30 1543
什么是保护域 数字证书的概念 认证中心 就是CA   这里的票据指得是tocken,这里指得是tocken认证机制       1加密技术确保了数据的私密性 2 md5或SHA 等散列函数可对数字签名+已加密的消息进行摘要性编码计算,以获取hashcode值  ...
Form身份认证方式配置
m0_51701478的博客
01-03 280
所有的HTTP访问都要经过iis,所以限制iis的安全性是关键 ASP.NET支持的四种授权方式:windows,passpost,form,none. Form身份认证: <system.web> <authentication mode="Forms"> <form LoginUrl="Login.aspx" defaultUrl=”default.aspx“> </forms> </authentication> 在这里也可以对一些用户做限
Form身份验证
wangjiangzhe的专栏
08-26 363
一 asp.net 2.0的基于Form身份验证(手机项目无关Cookie)与Microsoft提倡的设计布局   启动基于Form身份验证模式,最大的意义在于限制匿名用户的访问范围。方法步骤为:(1)       配置根目录下的web.config文件,设置authentication节的属性mode为“Form”。即配置此文件为           ……      
银行身份认证基本原理
walkingmanc的专栏
01-20 5763
<br />身份认证都是通过在某个时刻询问用户某个此时只有合法用户自己才能够提供而非法用户无法提供的证据(包括只有你知道的东西或只有你唯一拥有的东西,如:U盾,虹膜,指纹等)以证明合法用户身份。<br />普通帐号/密码认证方式(用户身份仅仅是通过匹配的2个字符串),一旦被黑客盗取后,在某个时刻,非法用户也能提供该证据,所以是不安全的。<br />   动态口令(动态密码):认证服务器以当前日期时间和用户登录次数为基础数据,采用一种算法,生成一个唯一字符串,作为用户身份凭证,客户端设备的时钟频率严格与服务器
LDAP概念和原理介绍
06-12 1135
LDAP概念和原理介绍 相信对于许多的朋友来说,可能听说过LDAP,但是实际中对LDAP的了解和具体的原理可能还比较模糊,今天就从“什么是LDAP”、“LDAP的主要产品”、“LDAP的基本模型”、“LDAP的使用案例”四个方面来做一个介绍。 我们在开始介绍之前先来看几个问题: 1.我们日常的办公系统是不是有多个? 2.每个系统之间是不是都有独立的账号密码? 3.密...
细说ASP.NET身份认证
weixin_30270889的博客
04-16 302
细说ASP.NET身份认证 阅读目录 开始 ASP.NET身份认证基础 ASP.NET身份认证过程 如何实现登录与注销 保护受限制的页面 登录页不能正常显示的问题 认识Forms身份认证 理解Forms身份认证 实现自定义的身份认证标识 在多台服务器之间使用Forms身份认证 在客户端程序中访问受限页面 用户登录是个很常见的业务需求,在ASP.NE...
layui form 主动验证
最新发布
09-02
layui form 主动验证是指在某些特定情况下,通过代码触发表单验证的过程。通常情况下,layui form 插件会在表单提交或输入框失焦时自动进行验证,然后根据验证结果显示错误提示信息。 但有时候,在某些需要实时验证...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值