9.1 使用窗体身份验证的原因
Cookie身份验证对于Web开发人员来说是一个很有吸引力的选择
1 可以在应用程序中保存对用户进行身份验证时用到的所有代码
2 我们可以完全控制登录窗体的外观
3 适用于使用任何浏览器的用户
4 允许我们决定如何存储用户信息
9.1.1 不使用窗体身份验证的原因
1 对于进行登录的用户,我们必须自己创建界面
2 必须亲自保存用户的详细资料
3 窗体身份验证所保护的资源必须由ASP.NET处理
4 我们必须单独防范网络通信量拦截
9.1.2 不用亲自实现Cookie身份验证
使用窗体身份验证模块而不是创建相应的程序块还有一下优点
1 它可以维护身份验证cookie的安全性
2 窗体身份验证是一个经过充分测试的系统
3 集成ASP.NET安全性框架
9.2 窗体身份验证的工作原理
9.3 窗体身份验证API
9.3.1 FormAuthenticationModule HTTP模块
窗体身份验证是一个HTTP模块
使用窗体身份验证时我们不直接使用此模块
9.3.2 FormAuthentication类
FormAuthenticationModule是一个HTTP模块用于后台处理
而FormsAuthentication是一个类
Authenticate方法允许我们根据存储在web.config文件中的内容对用户名和密码进行检查。如果在web.config文件外部存储凭证,就不能使用Authenticate,而必须使用我们自己的编码对它们进行检查。
RedirectFromLoginPage类
1 为用户创建一个身份验证票据
2 对身份验证的信息进行加密
3 创建一个cookie以保存被加密的票据信息
4 向HTTP响应添加cookie,并把它发送到客户
5 在到达登录之前,把用户重定向回他们所请求的页面
GetRedirectUrl方法类获取用户最初请求的URL
SignOut方法利用当前HTTP响应立即终止客户的身份验证cookie
9.3.3 Formaldentity类
Formsldentity类是Identity的实现。
Formsidentity和GenericIdentity之间最重要的区别在于前者可以通过它的Ticket属性提供身份验证票证
9.3.4 FormsAuthenticationTicket类
9.4 实现窗体身份验证
1 在web.config文件中配置窗体身份验证
2 创建登录窗体以便用户输入凭证
9.4.1 重点关注SSL
大多数浏览器所支持的对网络通信量进行加密的方法是SSL
SSL保护的URL地址是以HTTPS://开头而不是HTTP://
使用SSL之前,必须获得一个Server Certificate(服务器证书),把它安装到Web服务器
Request.IsSecureConnection属性可以显示当前请求是否在使用SSL。这个属性可以有效保证没有敏感数据被发送到非安全通道。
9.42 配置窗体身份验证
<authentication mode="forms">
<forms name="DansApplication" loginUrl="login.aspx"
timeout="30"
path="/"
protection="all"
>
</forms>
</authentication>
元素只能在应用程序根文件夹中的web.config中使用
一个应用程序只能定义一个身份验证类型
name特性可以定义身份验证cookie的名称
LoginUrl特性所定义的页面是为登录应用程序而把用户重定向到的页面
如果不想把SSL应用到整个站点 还可以把它应用到安全子文件夹,并在窗体身份验证的配置中使用loginUrl="secure/login.aspx"
timeout特性可以设置身份验证cookies所持续的时间长度
身份验证cookie的路径非常关键,一些浏览器中存在有关cookie路径的问题表明,把路径设置为"/"(整个站点内)通常来说是好主意
Protection特性允许我们为身份验证cookies配置两种类型的保护
Encryption 对cookies的内容进行加密
Validation 向cookie的内容添加Message Authentication Code(MAC,消息验证代码),以便服务器判断cookie是否被篡改。
1 向web.config添加凭证
<authentication mode="Forms">
<forms name="DansApplication"
loginUrl="login.aspx"
timeout="30"
path="/"
protection="ALL"
>
<credentials passwordFormal="Clear">
<user name="dan" password="qianqian">
<user name="jenny" password="qianqian">
</credentials>
</forms>
</authentication>
passwordFormat特性可以向ASP.NET指出我们是否利用了Hash算法来保护密码
2 拒绝匿名用户访问
<authorization>
<deny users="?"/>
</authorization>
<deny>标记只能告知ASP.NET我们希望拒绝匿名用户的访问(用"?"描述)
9.4.3 设置登录页面
登录窗体有两个主要内容
1 用以输入用户凭证的元素(通常是指用户名和密码)
2 如果凭证正确无误,代码就会创建一个身份验证票证并会在身份验证cookie中保留这个票证 。然后把用户重定向到把它们发送到登录窗体的URL
private void log_Click(object sender, System.EventArgs e)
{
//check the credentials
if(FormsAuthentication.Authenticate(name.Text,pass.Value))
{
//set up the authentication cookie and redirect
FormsAuthentication.RedirectFromLoginPage(name.Text,false);
}
else{
//make the error message visible
err.Visible=true;
}
}
private void Button1_Click(object sender, System.EventArgs e)
{//注销
//expire the authentication cookie
FormsAuthentication.SignOut();
}
2 向用户控件添加登录/注销功能
private void Page_Load(object sender, System.EventArgs e)
{
// 在此处放置用户代码以初始化页面
//check whether the user is logged in
if(Request.IsAuthenticated==true)
{
Displaylogout();
}
else{
Displaylogin();
}
}
#region Web 窗体设计器生成的代码
override protected void OnInit(EventArgs e)
{
//
// CODEGEN: 该调用是 ASP.NET Web 窗体设计器所必需的。
//
InitializeComponent();
base.OnInit(e);
}
/// <summary>
/// 设计器支持所需的方法 - 不要使用代码编辑器
/// 修改此方法的内容。
/// </summary>
private void InitializeComponent()
{
this.loginButton.Click += new System.EventHandler(this.loginButton_Click);
this.logoutButton.Click += new System.EventHandler(this.logoutButton_Click);
this.Load += new System.EventHandler(this.Page_Load);
}
#endregion
private void Displaylogin(){
login.Visible=true;
logout.Visible=false;
}
private void Displaylogout()
{
login.Visible=false;
logout.Visible=true;
nameLabel.Text=Context.User.Identity.Name;
}
private void loginButton_Click(object sender, System.EventArgs e)
{//登录
if(FormsAuthentication.Authenticate(name.Text.Trim(),pass.Text.Trim())){
FormsAuthentication.SetAuthCookie(name.Text,false);
Response.Redirect(Request.Url.LocalPath);
}
}
private void logoutButton_Click(object sender, System.EventArgs e)
{//登出
FormsAuthentication.SignOut();
Displaylogin();
}
9.4.4 为存储器散列密码
web.config 文件中的散列密码
9.4.5 保留身份验证Cookie
FormsAuthentication.SetAuthCookie(UsernameTextBox.Text,true)
FormsAuthentication.RedirectFromLoginPage(UsernameTextBox.Text,true)
持久性cookie不会受到在web.config文件<forms>元素中设置的超时特性的影响
持久性为10天的cookie
HttpCookie authenticationCookie=FormsAuthentication.GetAuthCookie(UsernameTextBox.Text,true);
authenticationCookie.Expires=DateTime.Now.AddDays(10);
Response.Cookies.Add(authenticationCookie);
Response.Redirect(FormsAuthentication.GetRedirectUrl(UsernameTextBox.Text,true));
9.4.6 使用其他的凭证存储器
1 凭证存储器的接口
2 把凭证存储在独立的XML文件中
3 在数据库中存储凭证
SQL SERVER中的SELECT默认行为是不区分大小写
类文件:
namespace ASPNETSafe
{
/// <summary>
/// FormClass 的摘要说明。
/// </summary>
public class FormClass
{
SqlConnection Connection;
public FormClass()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
public SqlConnection DatabaseCredentialsStore(SqlConnection connection){
Connection=connection;
return Connection;
}
public bool Authenticate(string username,string password){
bool isAuthenticated=false;
try{
Connection.Open();
string sql="select * from SAFE where name='"+username+"' and pass='"+password+"'";
SqlCommand cmd=new SqlCommand();
cmd.Connection=Connection;
cmd.CommandText=sql;
SqlDataReader dr=cmd.ExecuteReader();
if(dr.Read()){
if((string) dr["pass"].ToString()==password){
isAuthenticated=true;
}
}
dr.Close();
Connection.Close();
}
catch(Exception error){
return false;
}
return isAuthenticated;
}
}
}
登录代码:
private void loginButton_Click(object sender, System.EventArgs e)
{//登录
string connectionString="server=localhost;database=ASPNETSAFE;uid=sa;pwd=sa";
SqlConnection conn=new SqlConnection();
conn.ConnectionString=connectionString.ToString();
FormClass Fc=new FormClass();
Fc.DatabaseCredentialsStore(conn);
if(Fc.Authenticate(name.Text.Trim(),pass.Text.Trim())){
FormsAuthentication.SetAuthCookie(name.Text,false);
Response.Redirect(Request.Url.LocalPath);
}
}
4 使用Windows凭证
5 其他凭证存储器