ASP.NET 安全认证（一）

 

ASP.NET 安全认证（一）

——如何运用 Form 表单认证

作者 ： 寒羽枫 (cityhunter172)

序

代码写 N 久了，总想写得别的。这不，上头说在整合两个项目，做成单一登录（ Single Sign On ），也有人称之为“单点登录”。查阅相关文档后，终于实现了，现在把它拿出来与大家一起分享。或许大家会问：“这与标题不符呀？”别急，在下笔之前，我脑子里想到了我刚使用 Form 认证时遇到的一些问题，以及使用过程用到的一些技巧（实乃投机取巧是也 ^_^ ）。偶打初中那时，语文水平就不怎么滴，考试常常作文写不出来，所以写作水平有限，还请大家海量。对了，本人不仅写作水平有限，编程能力也不是很好，此文供大家学习交流之用，欢迎广大劳苦群众拎着鸡蛋、捧着鲜花前来评论。转载请注明原创作者乃寒羽枫是也，不甚感激！

废话也说的差不多了，言归正传， ASP.NET 的安全认证，共有“ Windows ”“ Form ”“ Passport ”“ None ”四种验证模式。“ Windows ”与“ None ”没有起到保护的作用，不推荐使用；“ Passport ”我又没用过，唉……所以我只好讲讲“ Form ”认证了。我打算分三部分：

第一部分 —— 怎样实现 From 认证；

第二部分 —— Form 认证的实战运用；

第三部分 —— 实现单点登录（ Single Sign On ）

第一部分 如何运用 Form 表单认证

一、        新建一个测试项目

为了更好说明，有必要新建一个测试项目（暂且为“ FormTest ”吧），包含三张页面足矣（ Default.aspx 、 Login.aspx 、 UserInfo.aspx ） 。啥？有人不会新建项目，不会新增页面？你问我咋办？我看这么办好了：拖出去，打回原藉，从幼儿园学起……

二、        修改 Web.config

1、   双击项目中的 Web.config （不会的、找不到的打 PP ）

2、   找到下列文字 < authentication mode ="Windows" /> 把它改成：

< authentication mode ="Forms">

< forms loginUrl ="Login.aspx" name =".ASPXAUTH"></ forms >

</ authentication >

3、   找到 < authorization > < allow users ="*" /></ authorization > 换成

< authorization >< deny users ="?"></ deny ></ authorization >

 

这里没什么好说的，只要拷贝过去就行。虽说如此，但还是有人会弄错，如下：

< authentication mode ="Forms">

       < forms loginUrl ="Login.aspx" name =".APSX"></ forms >

< deny users ="?"></ deny >

  </ authentication >

若要问是谁把 < deny users ="?"></ deny > 放入 < authentication > 中的，我会很荣幸地告诉你，那是 N 年前的我： < authentication > 与 < authorization > 都是以 auth 字母开头又都是以 ation 结尾，何其相似；英文单词背不下来的我以为他们是一伙的……

三、        编写 .cs 代码——登录与退出

1、   登录代码：

a、   书本上介绍的

         private void Btn_Login_Click(object sender, System.EventArgs e)

         {

              if (this .Txt_UserName.Text=="Admin" && this .Txt_Password.Text=="123456")

              {

     System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this .Txt_UserName.Text,false );

     }

}

b、   偶找了 N 久才找到的

private void Btn_Login_Click(object sender, System.EventArgs e)

         {

              if (this .Txt_UserName.Text=="Admin" && this .Txt_Password.Text=="123456")

              {

System.Web.Security.FormsAuthentication.SetAuthCookie(this .Txt_UserName.Text,false );

     Response.Redirect("Default.aspx");

     }

}

以上两种都可发放验证后的 Cookie ，即通过验证，区别：

方法 a) 指验证后返回请求页面，俗称“从哪来就打哪去”。比如：用户没登录前直接在 IE 地址栏输入 http://localhost/FormTest/UserInfo.aspx ，那么该用户将看到的是 Login.aspx?ReturnUrl=UserInfo.aspx ，输入用户名与密码登录成功后，系统将根据“ ReturnUrl ”的值，返回相应的页面

方法 b) 则是分两步走：通过验证后就直接发放 Cookie ，跳转页面将由程序员自行指定，此方法多用于 Default.aspx 使用框架结构的系统。

 

2、   退出代码：

private void Btn_LogOut_Click(object sender, System.EventArgs e)

     {

System.Web.Security.FormsAuthentication.SignOut();

}

四、        如何判断验证与否及获取验证后的用户信息

有的时候，在同一张页面需要判断用户是否已经登录，然后再呈现不同的布局。有人喜欢用 Session 来判断，我不反对此类做法，在此我只是想告诉大家还有一种方法，且看下面代码：

if (User.Identity.IsAuthenticated)

         {

              // 你已通过验证，知道该怎么做了吧？

}

User.Identity 还有两个属性 AuthenticationType （验证类型）与 Name （用户名称） ，大家要注意的是 Name 属性，此处的 User.Identity.Name 将得到，验证通过（ RedirectFromLoginPage 或 SetAuthCookie ）时，我们带入的第一个参数 this .Txt_UserName.Text 。这个参数很重要，关系到种种……种种的情况，何出此言，且听下回分解……