开发日志:使用Asp.Net中的"Forms"验证方式,操作用户权限

最新推荐文章于 2024-11-10 16:16:35 发布
最新推荐文章于 2024-11-10 16:16:35 发布
阅读量111 收藏
点赞数
文章标签: 数据结构与算法 操作系统
原文链接:http://www.cnblogs.com/suchenge/archive/2010/03/01/1675976.html
版权

一、web.config设置

 

 
  
 
   < 
   machineKey  
   validationKey 
   ="DD305F238C8F26103323F10B1A655ED9FA7DBB7A" 
    decryptionKey 
   ="70DE128000E565A7F8441A4C091C11EC8C5BB9B4D4EDA7A1" 
    validation 
   ="SHA1" 
   /> 
   
 
   < 
   authentication  
   mode 
   ="Forms" 
   > 
   
 
    < 
   forms  
   name 
   ="SKAPP.ASPXAUTH" 
    loginUrl 
   ="~/login.aspx" 
    protection 
   ="All" 
    timeout 
   ="10" 
    path 
   ="/" 
   /> 
   
 
   </ 
   authentication 
   > 
  
 
 
 
 
 
 
 
1、authentication
 
 
作用:配置 ASP.NET 身份验证支持(为Windows、Forms、PassPort、None四种)。该元素只能在计算机、站点或应用程序级别声明。<authentication> 元素必需与<authorization> 节配合使用。 
 
 
示例: 
 
 
以下示例为基于窗体(Forms)的身份验证配置站点,当没有登陆的用户访问需要身份验证的网页,网页自动跳转到登陆网页。 
 
 
<authentication mode="Forms" > 
<forms loginUrl="logon.aspx" name=".FormsAuthCookie"/> 
 
 
</authentication> 
 
 
其中元素loginUrl表示登陆网页的名称,name表示Cookie名称。
 
 
 
 
 
2、machineKey 
 
 
作用:元素对密钥进行配置,以便将其用于对 Forms 身份验证 Cookie 数据和视图状态数据进行加密和解密,并将其用于对进程外会话状态标识进行验证
 
 
 
 
 
属性
 
 
 
   
 
 
 
 
 
 
 
 
 
 
 属性  说明 
 
 decryption 
 		 
可选的 String 属性。
 
指定用于对数据进行解密的哈希算法的类型。 
 
此属性可以为下列可能值之一。
 
     
 
       
     
 
     
 
      
 说明 
 
 Auto 
 		 
指定 ASP.NET 基于配置的默认设置来确定使用哪个解密算法。这是默认值。
 
 
 AES 
 		 
指定 ASP.NET 使用 AES (Rijndael) 算法来对数据进行解密。AES 是用于对数据进行解密的默认算法。
 
 
 3DES 
 		 
指定 ASP.NET 使用 TripleDES 算法来对数据进行解密。TripleDES (3DES) 算法使用 DES 算法的三次连续迭代。
 
 
     
 
此属性是 .NET Framework 2.0 版中的新属性。
 
默认值为 "Auto"
 
 
 decryptionKey 
 		 
必选的 String 属性。
 
指定用于对数据进行加密和解密的密钥或者生成该密钥的进程。当 validation 设置为 TripleDES 字段时,该属性用于 Forms 身份验证加密和解密以及视图状态加密。 
 
如果向此属性添加 IsolateApps 修饰符,ASP.NET 将使用每个应用程序的应用程序 ID 为每个应用程序生成一个唯一的加密密钥。IsolateApps 也是默认值的一部分。
 
如果您需要在 Web 服务器网络(网络场)中支持配置,请手动设置此属性以确保配置保持一致。
 
此属性可以为下列可能值之一。 
 
     
 
       
     
 
     
 
      
 说明 
 
 AutoGenerate 
 		 
指定 ASP.NET 生成随机密钥并将其存储在 LSA 中。该值是默认值。如果向 decryptionKey 值添加 IsolateApps 修饰符,ASP.NET 将使用每个应用程序的应用程序 ID 为每个应用程序生成一个唯一的加密密钥。
 
 
 value 
 		 
指定一个手动分配的密钥。该值必须手动设置为十六进制字符串,以确保配置在整个网络场中保持一致。使用 DES 加密时,密钥长度应该为 16 个字符;而使用三重 DES (3 DES) 加密时,密钥长度应该为 48 个字符。如果要使用长度小于最大长度的密钥,则应通过真正的随机方式(例如,通过使用 RNGCryptoServiceProvider 类)来创建这些密钥。只有在计算机使用 128 位加密的情况下,ASP.NET 才能使用三重 DES。如果向 decryptionKey 值添加 IsolateApps 修饰符,ASP.NET 将使用每个应用程序的应用程序 ID 为每个应用程序生成一个唯一的加密密钥。
 
 
     
 
默认值为 "AutoGenerate,IsolateApps"
 
 
 validation 
 		 
必选的 MachineKeyValidation 属性。
 
指定用来验证数据的加密类型。
 
此属性可以为下列可能值之一。 
 
     
 
       
     
 
     
 
      
 说明 
 
 AES 
 		 
指定 ASP.NET 使用 AES (Rijndael) 算法来对数据进行解密。AES 是用于对数据进行解密的默认算法。
 
 
 MD5 
 		 
指定 ASP.NET 使用 Message Digest 5 (MD5) 哈希算法。此算法的性能比 SHA1 好。
 
 
 SHA1 
 		 
指定 ASP.NET 使用 SHA1 哈希算法。使用此算法可增强安全性。
 
该值是默认值。 
 
 
 TripleDES 
 		 
指定 ASP.NET 使用 TripleDES 算法来对数据进行解密。TripleDES 算法使用 DES 算法的三次连续迭代。
 
在 .NET Framework 1.0 和 1.1 版中,该值为 "3DES"
 
 
     
 
默认值为 "SHA1"
 
 
 validationKey 
 		 
必选的 String 属性。
 
指定用于验证加密数据的密钥。当 enableViewStateMACtrue 时,validationKey 用于创建消息身份验证代码 (MAC),以确保视图状态未被篡改。validationKey 还可用于生成进程外、应用程序特定的会话 ID,以确保每个会话具有独立的会话状态变量。
 
如果向 ValidationKey 值添加 IsolateApps 修饰符,ASP.NET 将使用每个应用程序的应用程序 ID 为每个应用程序生成一个唯一的加密密钥。IsolateApps 也是默认值的一部分。
 
如果您需要在 Web 服务器网络(网络场)中支持配置,请手动设置 ValidationKey 属性以确保配置保持一致。
 
 validationKey  属性可以为下列可能值之一。 
 
     
 
       
     
 
     
 
      
 说明 
 
 AutoGenerate 
 		 
指定 ASP.NET 生成随机密钥并将其存储在 LSA 中。此选项是默认值。如果向 validationKey 值添加 IsolateApps 修饰符,ASP.NET 将使用每个应用程序的应用程序 ID 为每个应用程序生成一个唯一的加密密钥。
 
 
 value 
 		 
指定一个手动分配的密钥。该值必须手动设置为十六进制字符串,以确保配置在整个网络场中保持一致。使用 DES 加密时,密钥长度应该为 16 个字符;而使用三重 DES 加密时,密钥长度应该为 48 个字符。如果要使用长度小于最大长度的密钥,则应通过真正的随机方式(例如,通过使用 CryptographyRNGCryptoServiceProvider 类)来创建这些密钥。只有在计算机使用 128 位加密的情况下,ASP.NET 才能使用三重 DES。如果向 validationKey 值添加 IsolateApps 修饰符,ASP.NET 将使用每个应用程序的应用程序 ID 为每个应用程序生成一个唯一的加密密钥。
 
 
     
 
默认值为 "AutoGenerate,IsolateApps"
 
 
 
 
 
 
 
 
 
 
二、记录用户信息
 
 
 
  ContractedBlock.gif 
  ExpandedBlockStart.gif 
  代码 
  
 
   
 
   
 
    FormsAuthenticationTicket ticket  
    = 
      
    new 
     FormsAuthenticationTicket(
 
    1 
    ,  
    // 
    票据版本号 
    
 
     MemberID  
    + 
      
    " 
    ; 
    " 
      
    + 
     txtMemberNo.Text,  
    // 
    要记录的用户信息,在这里用多项信息用“;”号分隔 
    
 
     DateTime.Now,  
    // 
    用户信息记录时间 
    
 
     DateTime.Now.AddMinutes( 
    30 
    ),  
    // 
    用户信息过期时间 
    
 
      
    true 
    ,  
    // 
    以Cookies的方式记录用户信息 
    
 
     dr[ 
    " 
    Roles 
    " 
    ].ToString(),  
    // 
    同时写入记录信息的用户其他信息,这里记录了用户权限 
    
 
     FormsAuthentication.FormsCookiePath  
    // 
    写入Cookies的路径 
    
 
     );

 
    string 
     hash  
    = 
     FormsAuthentication.Encrypt(ticket); 
    // 
    加密要写入Cookies的用户信息 
    

 
    HttpCookie cookie  
    = 
      
    new 
     HttpCookie(
 FormsAuthentication.FormsCookieName,  
    // 
    要写入的Cookies的名称 
    
 
     hash  
    // 
    加密后的用户信息 
    
 
     ); 
 
      
    
 
    if 
     (ticket.IsPersistent)  
    // 
    如果用户信息保存是持久性的 
    
 
     cookie.Expires  
    = 
     ticket.Expiration; 
    // 
    写入Cookies的过期日期 
    
 
    
Response.Cookies.Add(cookie); 
    // 
    写入Cookies 
   
 
  
 
 
 
 
 
 
 
 三、读取用户信息
 
 
 
 
 
 
 
 
 
 
 
 
  ContractedBlock.gif 
  ExpandedBlockStart.gif 
  代码 
  
 
   
 
   
 
    if 
    (HttpContext.Current.User.Identity.IsAuthenticated) 
    // 
    用户是否通过验证 
    
 
    {
 
    string 
    [] parts  
    = 
     HttpContext.Current.User.Identity.Name.Split( 
    ' 
    ; 
    ' 
    ); 
    // 
    返回记录的用户信息 
    
 
      
    return 
     Convert.ToInt32(parts[ 
    0 
    ]);
}
 
    else 
    
 
    return 
      
    null 
    ; 
   
 
  
 
 
 

 

转载于:https://www.cnblogs.com/suchenge/archive/2010/03/01/1675976.html

                

        

        




    

  


    

      

        

            

              
                
                  weixin_30813225
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
毕业设计:基于ASP.NET的通用权限管理系统 (2).zip

				
			

			

				

					10-11
				

			

		

		

			
				
1. **身份验证和授权**:使用ASP.NET的身份验证和授权机制,如Forms Authentication和Role Provider,来管理用户登录和权限分配。 2. **数据库设计与操作**:可能使用Entity Framework或其他ORM工具与SQL Server等...

			
		

	



                

            
              



	

		

			

				
					
毕业设计:基于ASP.NET的预约系统.zip

				
			

			

				

					10-11
				

			

		

		

			
				
1. **用户认证与授权**:利用ASP.NET的身份验证和授权机制,实现用户登录、权限控制等功能。 2. **数据库交互**:通过ADO.NET或Entity Framework与SQL Server进行数据操作,实现预约信息的存储和检索。 3. **状态...

			
		

	



              


  
              

                


	

		

			

				
					
Asp.Net基于forms验证机制,记录一下...

				
			

			

				

					weixin_34279579的博客
				

				

					06-29
					
					381
					
				

			

		

		

			
				
最近在看asp.net forum,对其验证机制看得模模糊糊,看完构建安全的 ASP.NET 应用程序的表单身份验证部分,思路就很清晰了,稍做了点记录,以便查阅: 

构建基于forms验证机制过程如下: 
1,设置IIS为可匿名访问和asp.net web.config设置为form验证 
2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用) 
3,使用FormsA...

			
		

	





	

		

			

				
					
验证视图MAC失败 Validation of ViewState MAC Failed

				
			

			

				

					shulin85的专栏
				

				

					02-03
					
					1123
					
				

			

		

		

			
				
验证视图MAC失败 Validation of ViewState MAC Failed

今天在调试Atlas时遇到错误:
验证视图MAC失败。如果此引用程序由网络场或群集承载,请确保配置指定了相同的 validationKey验证算法。不能在群集使用 AutoGenerate
发生错误的环境:
ASP.NET 2.0,使用Atlas的UpdatePanel,在UpdatePan

			
		

	



		

			
		



	

		

			

				
					
ASP.NET教务管理平台-权限及公共模块设计与开发

				
			

			

				

					大叔_爱编程 的博客
				

				

					04-23
					
					1021
					
				

			

		

		

			
				
Visual Studio 2005 是一系列高效的、智能的开发工具的统称,它拥有一个庞大的产品线,包括面向学生、爱好者、初学者的Express版,面向专家、Visual Basic 6的Standard版,面向顾问、企业开发人员的Professional版和面向架构师的Team System版本。在这些版本,有些集成了开发软件常用到的东西,比如重构、单元测试、类设计器等等,以方便开发人员快速的设计各类软件。

			
		

	





	

		

			

				
					
【.NET全栈】ASP.NET开发Web应用——成员和角色管理技术

				
			

			

				

					JosieBook
				

				

					09-14
					
					651
					
				

			

		

		

			
				
ASP.NET,成员管理通常涉及用户的注册、登录、密码管理等功能。ASP.NET提供了内置的成员资格管理功能,这些功能可以通过Membership类和相关的API来实现。Membership类提供了创建和管理用户、验证用户凭据、管理密码等功能。开发者可以使用Membership类的方法来创建新用户、验证用户、重置密码等。

			
		

	





	

		

			

				
					
ASP.NET-常用控件总结

				
			

			

				

					踏雨歌青春,诗酒趁年华
				

				

					03-14
					
					2503
					
				

			

		

		

			
				
本文介绍了ASP.NET控件编程的基础知识和常用技巧。通过对基础控件如TextBox、DropDownList等的介绍,读者可以了解如何在ASP.NET应用使用这些控件来实现用户界面的交互。此外,文章还深入探讨了UpdatePanel实现局部刷新以及动态事件的处理方法,帮助读者更好地优化页面性能和提升用户体验。通过这些内容的学习,读者可以掌握ASP.NET控件编程的关键技能,并能够更高效地开发出功能丰富、交互友好的Web应用程序。

			
		

	





	

		

			

				
					
Asp.net Mvc 身份验证、异常处理、权限验证(拦截器)

				
			

			

				

					weixin_44750657的博客
				

				

					04-12
					
					1006
					
				

			

		

		

			
				
本问主要介绍asp.net的身份验证机制及asp.net MVC拦截器在项目的运用。现在让我们来模拟一个简单的流程:用户登录》权限验证》异常处理。
1、用户登录
验证用户是否登录成功步骤直接忽略,用户登录成功后怎么保存当前用户登录信息(session,cookie),本文介绍的是身份验证(其实就是基于cookie)的,下面看看代码。
引入命名空间
using System.Web.Securit...

			
		

	





	

		

			

				
					
ASP.NET开发实战——(二)为什么使用ASP.NET

				
			

			

				

					Cool2Feel的博客
				

				

					09-18
					
					406
					
				

			

		

		

			
				
  本文主要内容是通过分析《博客系统》需求,确定使用Web应用的形式来开发,然后介绍了HTML、HTTP的概念,并使用IIS搭建了一个静态的HTML“页面”,从而引出“动态”的ASP.NET。

  本文从以下几个方面来介绍为什么使用ASP.NET:

  ●ASP.NET是什么?
  ●为什么使用ASP.NET?
  ●博客的需求及实现
  ●什么是Web、HTML、Web服务器

ASP.NE...

			
		

	





	

		

			

				
					
自学Web开发第十一天-基于VB和ASP.NET;简单项目开发:自定义类文件,研究不同语言的混写操作,页面的访问控制

				
			

			

				

					runsong911的博客
				

				

					04-12
					
					836
					
				

			

		

		

			
				
自学Web开发第十一天-基于VB和ASP.NET;简单项目开发:完成登录页面后的扩展,自定义类文件,研究不同语言的混写操作,页面的访问控制

			
		

	





	

		

			

				
					
转:了解ASP.NET底层架构

				
			

			

				

					abp4006的博客
				

				

					06-19
					
					172
					
				

			

		

		

			
				
这篇文章以非常底层的视角讲述了Web请求(request)在ASP.NET框架是如何流转的,从Web服务器,通过ISAPI直到请求处理器(handler)和你的代码.看看在幕后都发生了些什么,不要再把ASP.NET看成一个黑盒了.

ASP.NET是一个非常强大的构建Web应用的平台,它提供了极大的灵活性和能力以致于可以用它来构建所有类型的Web应用.绝大多数的人只熟悉高层的框架...

			
		

	





	

		

			

				
					
毕业设计:基于ASP.NET的贴心ASP系统.zip

				
			

			

				

					10-11
				

			

		

		

			
				
2. **ASP.NET Web Forms**:另一种开发方式,通过事件驱动的模型创建交互式网页。 3. **C#或VB.NET编程**:ASP.NET通常使用这两种语言编写后台代码。 4. **ADO.NET**:用于数据库操作,连接、查询、更新和删除数据。...

			
		

	





	

		

			

				
					
毕业设计:基于ASP.NET MVC实现的后台管理系统.zip

				
			

			

				

					10-11
				

			

		

		

			
				
6. **身份验证和授权**:ASP.NET MVC提供了内置的身份验证和授权机制,如Forms Authentication和Role-based Authorization,用于保护系统资源,确保只有授权用户能访问特定的功能。  7. **测试**:由于ASP.NET MVC...

			
		

	





	

		

			

				
					
毕业设计:基于ASP.NET的简易学生系统(ASP.NET).zip

				
			

			

				

					10-11
				

			

		

		

			
				
【标题】:“毕业设计:基于ASP.NET的简易学生系统”是一个典型的计算机科学毕业设计项目,主要使用ASP.NET技术构建一个简单的学生管理系统。ASP.NET是微软公司推出的Web应用程序开发框架,它为开发者提供了丰富的...

			
		

	





	

		

			

				
					
[FBCTF 2019]rceservice 详细题解

				
			

			

				

					weixin_73904941的博客
				

				

					11-09
					
					1136
					
				

			

		

		

			
				
如果在字符串最末尾的 } 之前加上一个%0a    {%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}此时   \x00-\x1F 匹配了第一个%0a  但是最后的.* 不能匹配换行符,也匹配不到换行后的 }所以不能遍历完整字符串,返回值为空,完成正则绕过//而在单行模式下$ 似乎会忽略在句尾的 %0a  所以如果%0a 添加在字符串最后的} 的后面的话依然会被匹配构造?

			
		

	





	

		

			

				
					
LeetCode:27. 移除元素

				
			

			

				

					2301_78566776的博客
				

				

					11-06
					
					291
					
				

			

		

		

			
				
设置一个指针k,并且遍历数组,当元素不为val时,nums[k]更新,并且k++。这样前k项正好是这个数组不包含val的全部项。但是注意如果出现当两个值均为val的元素相邻时,后向前覆盖可能会导致漏删。此时在下面代码的“i--”可规避掉这个问题。主要思路:从前往后遍历数组nums,当遇到值与val相等的元素,元素的顺序可能发生改变。如下例子,9,4前移覆盖掉2。移除所有数值等于 val。

			
		

	





	

		

			

				
					
【Rust设计模式之Fold模式】

				
			

			

				

					m0_37719524的博客
				

				

					11-08
					
					331
					
				

			

		

		

			
				
如Rust Collection的fold方法,是消耗迭代器适配器,将闭包应用于每一个元素,并将结果返回一样。Fold模式的心思想也是如此,将元素折叠处理,最终计算出新的元素。而我们自己实现的Fold模式,一般用于映射数据结构,不同于面向对象的原地修改,由于Rust的引用和借用以及不可变性,生成新的结构从而替代老的结构调理更为清晰。总结:通常来说只有我们在自己编写一些数据结构的时候方才用得到这种fold模式,一般的业务逻辑相对的较少能够涉及到此,不过多懂一些也是极好的~“万全之计便是即刻行动”

			
		

	





	

		

			

				
					
leetcode206. Reverse Linked List

					
最新发布

				
			

			

				

					weixin_44245188的博客
				

				

					11-10
					
					109
					
				

			

		

		

			
				
考虑使用递归法遍历链表,当越过尾节点后终止递归,在回溯时修改各节点的 next 引用指向。给你单链表的头节点 head ,请你反转链表,并返回反转后的链表。输入:head = [1,2,3,4,5]输出:[5,4,3,2,1]

			
		

	





	

		

			

				
					
链表常用技巧和操作总结

				
			

			

				

					Y_1215的博客
				

				

					11-08
					
					859
					
				

			

		

		

			
				
链表作为一种基础的数据结构,在算法有着广泛的应用。掌握链表的常用操作和技巧,不仅能够帮助我们解决具体问题,还能在实际的编程提升效率和代码质量。头插法:用于栈的实现和一些数据流反转操作。尾插法:适用于队列的实现和批量数据导入的场景。快慢指针找间节点:在分割链表、回文链表检测、查找链表点等问题常用。逆序链表:常用于栈的反转和数据流反转等应用。合并有序链表:广泛应用于归并排序、数据流合并等问题。判断链表是否有环:常用于循环链表检测,避免程序出现无限循环等问题。

			
		

	





	

		

			

				
					
ASP.NET安全指南:身份验证与保护策略

				
			

			

				

					
				

			

		

		

			
				
 ASP.NET支持多种身份验证方法,如Windows身份验证(与Active Directory集成),Forms身份验证(自定义登录页面),以及基于令牌的身份验证(如OAuth、OpenID Connect等)。  5. **Web服务的安全性**  Web服务的安全...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值