Asp.Net Forms验证(自定义、角色提供程序、单点登录)

最新推荐文章于 2022-07-19 23:24:34 发布
最新推荐文章于 2022-07-19 23:24:34 发布
阅读量127 收藏
点赞数
文章标签: 数据库

以前开发项目时经常是自己开发一套用户权限管理系统进行验证,比较灵活。最近为了单点登录的问题又把Asp.Net自带的验证方式看了一遍,发现这种方式也比较方便,功能也还可以。在Asp.Net提供了三种常用的验证方式:Windows方式是和IIS结合起来可以实现基本、摘要、集成 Windows等身份验证;Passport方式是使用Windows Live ID的帐户来进行统一验证的;Forms方式是使用常见的表单来实现验证。
本文主要就是讨论Forms验证方式普通实现、自定义实现、自定义角色提供程序、如何单点登录(可和MOSS结合)等几个方面。
一、普通实现方式
这种方式是最简单的,只需要配置一下就可以了。
1、执行aspnet_regsql命令建立数据库
aspnet_regsql命令在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727目录下,按提示运行就可以了

2、新建一个web网站
在Web.Config中加入配置:

   < connectionStrings >
     < add  name ="MySqlConnection"  connectionString ="Data Source=dbserver;Initial Catalog=database;user id=userid;password=****;"   />
   </ connectionStrings >

   < system.web >
         < authorization >
             < deny  users ="?" />
         </ authorization >
         < authentication  mode ="Forms" >
             < forms  loginUrl ="login.aspx"  name =".ASPXAUTH" />
         </ authentication >

     < membership  defaultProvider ="SqlProvider" >
       < providers >
         < clear  />
         < add  connectionStringName ="MySqlConnection"  applicationName ="MyApplication"
          enablePasswordRetrieval ="false"  enablePasswordReset ="true"  requiresQuestionAndAnswer ="true"
          requiresUniqueEmail ="true"  passwordFormat ="Hashed"  name ="SqlProvider"
          type ="System.Web.Security.SqlMembershipProvider"   />
       </ providers >
     </ membership >

   </ system.web >
主要就是指定Forms验证使用的数据库,如果不指定数据库会使用本机默认的 aspnetdb 数据库
deny users="?"表示不允许匿名用户访问,也就是说当匿名用户访问时自动跳转到下面配置的login.aspx页面。
至于authorization和authentication节的其他属性可以参考MSDN,里面有很详细的介绍。

3、在网站里创建Default.aspx和Login.aspx页面
在Login.aspx页面里面放入 LoginCreateUserWizard控件(因为我们新建的库中一个用户也没有, CreateUserWizard控件只是用来建立测试用户的,建好用户后可以把这个控件删除)
在Default.aspx页面中随便放入一些内容。
当我们访问Default.aspx时就会自动转入Login.aspx进行验证了。

二、自定义实现方式
采用第一种方式时会要求建立一个数据库,很多表,可能并不符合我们自己的业务要求。可以使用以下的自定义方式
1、利用Login控件的Authenticate事件
这个事件就是用来进行验证的,可以通过指定true值表示验证通过:
     protected   void  Login1_Authenticate( object  sender, AuthenticateEventArgs e)
     {
        //判断用户名密码是否正确
        //
        e.Authenticated = true;
    }
2、完全抛开Login等控件,自己写代码
其实Login控件的核心主要也就是往Cookie里面放入一些值,那么我们可以在自己的代码中来进行这个操作:
     protected   void  Button1_Click( object  sender, EventArgs e)
     {
        //判断用户名密码是否正确
        //.
        FormsAuthentication.SetAuthCookie(userName, false);
        if (Context.Request["ReturnUrl"!= null)
        {
            Response.Redirect(Context.Request["ReturnUrl"]);
        }
        else
        {
            Response.Redirect(FormsAuthentication.DefaultUrl);
        }
    }
采用以上两种方式就不用建立默认的数据库了,直接使用我们的逻辑进行验证操作

三、自定义角色提供程序
以上说的都是用户级别的验证,在有的情况下需要根据角色来进行验证,比如指定某个目录或某个aspx文件只能让哪几个角色的用户访问,根据角色来控制的话比较方便灵活。
1、在登录验证的时候把角色信息也保存到Cookie中去:
     protected   void  Button1_Click( object  sender, EventArgs e)
     {
        //判断用户名密码是否正确
        //.

        //得到用户的角色,测试时暂时写死
        string userRoles = "Admins,testst"
        FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, user, DateTime.Now, DateTime.Now.AddMinutes(30), false, userRoles, "/");
        string HashTicket = FormsAuthentication.Encrypt(Ticket); 

        //把角色信息保存到Cookie中去
        HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);
        Response.Cookies.Add(UserCookie);

        if (Context.Request["ReturnUrl"!= null)
        {
            Response.Redirect(Context.Request["ReturnUrl"]);
        }
        else
        {
            Response.Redirect(FormsAuthentication.DefaultUrl);
        }
    }
把角色信息加密成特定的格式保存。
2、自定义角色提供程序
如果要按照角色进行验证的话,肯定要涉及到角色提供程序,在默认情况下也是会去连接默认的数据库的,我们可以自己写一个角色提供程序来实现自己的逻辑。
首先在web.config中加入配置:
Code
    <roleManager defaultProvider="MyRoleProvider"
      enabled="true"
      cacheRolesInCookie="true"
      cookieName=".ASPROLES"
      cookieTimeout="30"
      cookiePath="/"
      cookieRequireSSL="false"
      cookieSlidingExpiration="true"
      cookieProtection="All" >
      <providers>
        <clear />
        <add name="MyRoleProvider"
          type="MyRoleProvider"
          writeExceptionsToEventLog="false" />
      </providers>
    </roleManager>
这个就是指定我们的角色提供类MyRoleProvider。
这个类必须从 System.Web.Security.RoleProvider继承,只要重载实现一个方法就可以了(其他方法返回异常):
     public   override   string [] GetRolesForUser( string  username)
     {
        FormsIdentity Id = HttpContext.Current.User.Identity as FormsIdentity;
        if (Id != null)
        {
            return Id.Ticket.UserData.Split(new Char[] ',' });
        }
        return null;
    }
也就是从我们之前保存到Cookie中的值取得用户角色( FormsAuthentication会自动把保存的cookie转化成User内的值)

之后我们就可以在web.config中配置角色验证规则了:
   < location  path ="admin" >
     < system.web >
       < authorization >
         < allow  roles ="Admins" />
         < deny  users ="*" />
       </ authorization >
     </ system.web >
   </ location >
或者也可以在代码中判断:
bool  a  =  User.IsInRole( " testt " );
判断起来还是很方便的。

四、单点登录
使用Forms的单点登录主要是通过 machineKey的配置, machineKey 元素对密钥进行配置,以便将其用于对 Forms 身份验证 Cookie 数据和视图状态数据进行加密和解密,并将其用于对进程外会话状态标识进行验证
使用这种方式的单点登录目前只能实现相同主机或相同子域站点之间的同步登录,比如www.cnblogs.com和firstyi.cnblogs.com可以实现,但是www.cnblogs.com和 www.sina.com.cn就不能实现了,对于 非同一父域名下的域名间不能跨站登录
主要配置如下:
   < machineKey  validationKey ="282487E295028E59B8F411ACB689CCD6F39DDD21E6055A3EE480424315994760ADF21B580D8587DB675FA02F79167413044E25309CCCDB647174D5B3D0DD9141"  decryptionKey ="8B6697227CBCA902B1A0925D40FAA00B353F2DF4359D2099"  validation ="SHA1" />
   < authentication  mode ="Forms" >
       < forms  loginUrl ="login.aspx"  name =".ASPXAUTH1"  domain =".cnblogs.com"   />
   </ authentication >
要实现单点登录的多个web站点的machineKey必须一样,forms里面的name和domain也必须一样
这样配置好之后,在其中一个站点登录后再调转到另一个站点就不需要再次登录了。
注: 如果MOSS网站采用Forms验证方式的话,只要把MOSS站点的对应配置改成和自己的Asp.Net站点一致,那么可以从自己的站点直接进入MOSS站点,也不需要重新登录(MOSS站点和自己的站点要有相同的用户名)

其他:
Forms验证之后可以使用以下方法退出登录:
FormsAuthentication.SignOut(); 

另外这些登录的后台Module是配置在 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config文件中的:
       < add  name ="WindowsAuthentication"  type ="System.Web.Security.WindowsAuthenticationModule" />
       < add  name ="FormsAuthentication"  type ="System.Web.Security.FormsAuthenticationModule" />
       < add  name ="PassportAuthentication"  type ="System.Web.Security.PassportAuthenticationModule" />

附:
最后的web.config文件
<?xml version="1.0"?>
<configuration xmlns="http://schemas.microsoft.com/.NetConfiguration/v2.0">
  <system.web>
        <authorization>
            <deny users="?"/>
        </authorization>
        <authentication mode="Forms">
      <forms loginUrl="login.aspx" name=".ASPXAUTH1" domain=".cnblogs.com" />
    </authentication>
    <machineKey validationKey="F9A61F796A204D9945889B64D9DA5086E89CEC5200F0CED4" decryptionKey="D679BCF2A76DEBB04D7FED5E5967F46C92FEF2B31AD5D7C9" validation="SHA1" />
    <compilation debug="true"/>
    
    <roleManager defaultProvider="MyRoleProvider"
      enabled="true"
      cacheRolesInCookie="true"
      cookieName=".ASPROLES"
      cookieTimeout="30"
      cookiePath="/"
      cookieRequireSSL="false"
      cookieSlidingExpiration="true"
      cookieProtection="All" >
      <providers>
        <clear />
        <add name="MyRoleProvider"
          type="MyRoleProvider"
          writeExceptionsToEventLog="false" />
      </providers>
    </roleManager>

  </system.web>
  <location path="admin">
    <system.web>
      <authorization>
        <allow roles="Admins"/>
        <deny users="*"/>
      </authorization>
    </system.web>
  </location>
</configuration>



weixin_33849942
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net SSO单点登录例子
12-22
ASP.NET中,可以使用Forms Authentication或Windows Authentication,但通常Forms Authentication更适合跨域身份验证,因为它允许自定义登录逻辑和令牌生成。 2. **票据(Ticket)管理**:登录成功后,系统会生成...
ASP.NET MVC中的自定义控件
04-07
ASP.NET MVC是一个强大的框架,用于构建可维护性和可测试性高的Web应用程序。...结合C#、JavaScript、XML、CSS以及ASP.NET框架提供的各种工具和技术,你可以在ASP.NET MVC应用程序中构建出强大而灵活的自定义控件库。
细说ASP.NET身份认证
weixin_30270889的博客
04-16 301
细说ASP.NET身份认证 阅读目录 开始 ASP.NET身份认证基础 ASP.NET身份认证过程 如何实现登录与注销 保护受限制的页面 登录页不能正常显示的问题 认识Forms身份认证 理解Forms身份认证 实现自定义的身份认证标识 在多台服务器之间使用Forms身份认证 在客户端程序中访问受限页面 用户登录是个很常见的业务需求,在ASP.NE...
ASP.NET Forms验证详解
moonpure的专栏
04-25 5441
创建网站中,常常会使用到身份验证asp.net中内置了几种身份验证的方式,如Windows、Froms、Passport等。这几种身份验证的方式各有不同。一般来说,网站的身份验证方式都会经过以下几个步骤:     1、输入用户名和密码,单击确定按钮。     2、在后台判断用户名和密码是否正确,如果错误返回提示;如果正确,进入可访问的页面。       在ASP时代,通常
ASP.NET Form表单验证
weixin_30752377的博客
06-23 114
一: ASP.NET 的安全认证模式Windows, Forms, Passport, None 二: 修改验证模式修改Web.config <system.web> <!--修改验证模式为Forms--><authentication mode="Forms"><forms loginUrl="~/Login.aspx" name="Hote...
.Net 单点登录(SSO)的原理与实现------ASP.Net Form认证
雾月哥的博客
05-05 5323
.Net 单点登录(SSO)的原理与实现——ASP.Net Form认证 一、使用Form认证    说到认证,不得不提一下ASP.Net的Form认证模式,相信大家在开发B/S架构的系统时都有用到过,例如WebForm和MVC框架都可以使用Form认证模式,至于不知道Form认证的童鞋,在这里我们我们先介绍Form的使用,一步步慢慢剖析Form认证的原理,请大家耐心的阅读本博客。同时本博...
ASP.NET MVC4 自定义权限(角色验证
shuai_wy的专栏
09-30 7030
ASP.NET MVC4 自定义权限(角色验证。 自定义验证方法,自定义验证失败处理方法。 异步请求验证失败,返回JSON数据。 同步请求验证失败,跳转登录页。
ASP.net 单点登录源代码
05-26
- 使用Forms Authentication:ASP.NET的默认身份验证模式,可以通过自定义Ticket来实现跨应用程序的身份验证。 - WIF(Windows Identity Foundation):微软提供的安全框架,支持OAuth、OpenID等标准,方便构建...
asp.net)用户单点登录
06-04
下面将详细介绍如何在ASP.NET中实现用户单点登录。 首先,我们需要理解SSO的基本原理。SSO的核心在于统一的身份验证中心,通常称为身份提供者(Identity Provider,IdP)。当用户首次登录IdP时,系统会进行身份验证...
ASP.NET编程知识】Asp.net mvc 权限过滤和单点登录(禁止重复登录).docx
最新发布
05-16
ASP.NET MVC权限过滤和单点登录...权限控制和单点登录ASP.NET MVC应用程序中的两个重要概念,通过使用AuthorizeAttribute和FormAuthentication等技术,可以实现权限控制和单点登录,提高应用程序的安全性和可靠性。
FormsAuthentication实现登录
PAPALIAN的专栏
01-16 1139
FormsAuthentication实现登录 配置项描述:               name=".ASPXAUTH"          loginUrl="login.aspx"          defaultUrl="default.aspx"          protection="All"          timeout="30"
System.Web.Security.Roles.IsUserInRole VS User.IsInRole
懒兔Jodie
10-24 789
System.Web.Security.Roles.IsUserInRole 和 User.IsInRole到底有何区别呢,有空再研究,记着
BO报表单点登录、AD域配置
回忆是惩罚,但只惩罚不往前走的人。。。
07-19 658
BO报表单点登录、AD域配置。
dnn的isInRole的bug
weixin_34092370的博客
07-24 80
发现dnn的判断用户是否是某个角色的方法是有bug的,一下两种方法: DotNetNuke.Security.PortalSecurity.IsInRole("roleName") Me.UserInfo.IsInRole("roleName") 都有同样的问题: 如果有一个属于“roleName”角...
实现成员资格提供程序(MySqlMembershipProvider)
雨季不再来的专栏
12-13 2415
ASP.NET 成员资格专为使您可以轻松地将多个不同的成员资格提供程序用于您的 ASP.NET 应用程序而设计。可以使用 .NET Framework 提供的成员资格提供程序,也可以实现自己的提供程序。创建自定义成员资格提供程序主要有两个原因。需要将成员资格信息存储在一个 .NET Framework 内附的成员资格提供程序不支持的数据源中,如 MySql 数据库、Oracle 数据库或其他数据源。需要使用不同于 .NET Framework 附带的提供程序所使用的数据库架构来管理成员资格信息。一个常见的示
spring mvc实现单点登录
wisdom_bo的博客
04-28 1572
闲来无事,想起来之前解决的问题还未曾做笔记,借此时机,对前一阶段的工作做一个总结。    刚接手这个项目的时候,任何用户在任何地点任何时间都可以使用同一个账户登录,这让我很恼火,完全不符合设计要求,于是,决定对其进行改善。这是我实现单点登录的 代码: 功能一    单点登录实现机制:            当用户A使用账号a在浏览器中登录时,若用户B在另一台电脑上也用a账号登录,当用户B
ASP.NET Forms表单验证流程
shumixys的博客
04-22 830
1、站点web.config 配置Authentication 和Authorization 节点 loginUrl: 为用户访问指定页面前默认最先访问的页面。 authorization:为授权所有用户都可以访问 2、在站点子文件夹User下添加web.config,设置可访问当前子文件夹下的文件的用户。 对指定页面进行授权 对user角色的用户授权 拒绝其他所
ASP.NET Forms身份验证基础与流程详解
ASP.NET Forms身份认证提供了一套完整的框架来管理用户身份验证和授权,开发人员需要熟练掌握如何设置、检查用户状态,并正确配置受保护资源的访问控制。通过深入理解这些原理,你可以创建出更加安全和用户友好的Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值