[.NET 基于角色安全性验证] 之四:ASP.NET 2.0 成员资格和角色管理授权

最新推荐文章于 2018-04-15 18:39:22 发布
最新推荐文章于 2018-04-15 18:39:22 发布
阅读量521 收藏
点赞数
分类专栏: .Net 文章标签: asp.net .net exception httpmodule microsoft null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangfcf/article/details/4295881
版权

从严格意义上来说,ASP.NET 2.0 的成员资格、角色管理授权和 .NET 角色安全性没有多大关系。只不过,Microsoft 替我们完成了一些原本需要我们自己进行的工作而已。

在这两种新的技术中使用的"提供程序模型"倒是值得我们好好学习一下,因为这个 IoC 概念非常相似。

成员资格

成员资格提供了通用的用户管理功能,诸如注册、登录、找回密码等,加上与之配套的可视化控件,我们“几乎”不用在编写额外的代码就可以工作。实际上真是如此吗?MemebershipUser 属性太少,显然不大适合我们的商业应用;注册和登录控件有缺乏验证码,缺乏安全性;…… 当然我们还可以使用自定义验证和提供程序,不过如此一来还不如自己参考"提供者模型"开发一套呢,毕竟独立的 Passport 才是我们所需要的,更不要说和既有系统进行整合了,总之 ASP.NET 提供的这个新功能,食之无味,弃之可惜。有关成员资格和角色管理的使用不是本文的重点,详情可参考 MSDN 文档。

成员资格由 Membership、MembershipUser、MembershipProvider 组成,Membership 是个静态类,为用户提供了大量用户相关的操作方法,MembershipUser 则是用户实体类,除了用户属性外也有一些用户自身的操作方法,而 MembershipProvider 自然就是提供程序的基础抽象类了,它规范了提供程序的接口。

uploads/200608/10_152024_membership.png



我们分析一下 Membership 代码(局部代码),看看如何获取真实的目标提供程序对象的。其实过程也很简单,读取配置获取类型信息,然后用反射创建目标提供程序对象实例。

System.System.Web.Security.Membership

// 我们从 ValidateUser 方法入手。
public static bool ValidateUser(string username, string password)
{
   // 通过 Provider 属性获取提供程序对象
   return Membership.Provider.ValidateUser(username, password);
}

public static MembershipProvider Provider
{
   get
   {
     // 应该是通过 Initialize() 方法获取,并赋值给 s_Provider 变量的。
     Membership.Initialize();
     return Membership.s_Provider;
   }
}

private static void Initialize()
{
   // 从配置文件中读取配置信息
   RuntimeConfig config1 = RuntimeConfig.GetAppConfig();
   MembershipSection section1 = config1.Membership;

   Membership.s_Providers = new MembershipProviderCollection();

   // 使用 ProvidersHelper.InstantiateProviders 方法从配置信息中读取设置。
   ProvidersHelper.InstantiateProviders(section1.Providers, Membership.s_Providers, typeof(MembershipProvider));

   // 将缺省提供程序对象赋值给 s_Provider 变量。
   Membership.s_Provider = Membership.s_Providers[section1.DefaultProvider];
   Membership.s_Initialized = true;
}

public static void ProvidersHelper.InstantiateProviders(ProviderSettingsCollection configProviders, ProviderCollection providers, Type providerType)
{
   // 循环读取配置信息,并创建提供程序对象。
   foreach (ProviderSettings settings1 in configProviders)
   {
     providers.Add(ProvidersHelper.InstantiateProvider(settings1, providerType));
   }
}

public static ProviderBase ProvidersHelper.InstantiateProvider(ProviderSettings providerSettings, Type providerType)
{
   ProviderBase base1 = null;
   try
   {
     // 调用 HttpRuntime.CreatePublicInstance 创建提供程序对象。
     base1 = (ProviderBase)HttpRuntime.CreatePublicInstance(type1);
   }
   catch (Exception exception1)
   {
   }
   return base1;
}

internal static object HttpRuntime.CreatePublicInstance(Type type)
{
   // 利用反射创建对象
   return Activator.CreateInstance(type);
}


下面我们分析一下 Login 控件的源码,我们会发现其内部不过是自动调用 Membership 和 MembershipProvider 进行操作而已。

System.Web.UI.WebControls.Login

private void AttemptLogin()
{
   if ((this.Page == null) || this.Page.IsValid)
   {
     LoginCancelEventArgs args1 = new LoginCancelEventArgs();
     this.OnLoggingIn(args1);
     if (!args1.Cancel)
     {
       AuthenticateEventArgs args2 = new AuthenticateEventArgs();

       // 调用核心代码
       this.OnAuthenticate(args2);

       // 看到了什么?标准的身份验证代码。详情可以查看上一篇Blog。
       if (args2.Authenticated)
       {
         FormsAuthentication.SetAuthCookie(this.UserNameInternal, this.RememberMeSet);
         this.OnLoggedIn(EventArgs.Empty);
         this.Page.Response.Redirect(this.GetRedirectUrl(), false);
       }
       else
       {
         this.OnLoginError(EventArgs.Empty);
         if (this.FailureAction == LoginFailureAction.RedirectToLoginPage)
         {
           FormsAuthentication.RedirectToLoginPage("loginfailure=1");
         }
         ITextControl control1 = (ITextControl)this.TemplateContainer.FailureTextLabel;
         if (control1 != null)
         {
           control1.Text = this.FailureText;
         }
       }
     }
   }
}

protected virtual void OnAuthenticate(AuthenticateEventArgs e)
{
   AuthenticateEventHandler handler1 = (AuthenticateEventHandler)base.Events[Login.EventAuthenticate];
   if (handler1 != null)
   {
     // 用户使用了自定义身份验证服务
     handler1(this, e);
   }
   else
   {
     // 使用成员资格提供程序
     this.AuthenticateUsingMembershipProvider(e);
   }
}

private void AuthenticateUsingMembershipProvider(AuthenticateEventArgs e)
{
   // 使用 LoginUtil.GetProvider 获取成员资格提供程序对象,并调用其 ValidateUser 进行身份验证。
   e.Authenticated = LoginUtil.GetProvider(this.MembershipProvider).ValidateUser(this.UserNameInternal, this.PasswordInternal);
}

internal static LoginUtil.MembershipProvider GetProvider(string providerName)
{
   if (string.IsNullOrEmpty(providerName))
   {
     return Membership.Provider;
   }

   // 调用 Membership 相关属性,获取提供程序对象。
   MembershipProvider provider1 = Membership.Providers[providerName];
   if (provider1 == null)
   {
     throw new HttpException(SR.GetString("WebControl_CantFindProvider"));
   }
   return provider1;
}


角色管理授权

在实际开发中,除了用户(User)和角色(Role)以外,我们还需要权限(Permission)这个概念。角色更像是用户组(Users Group),用户可以加入一个或多个用户组,每个用户组又拥有多个权限。有了权限,我们就可以动态赋予用户组不同的权力,比如我们可以临时授予 A 组执行 XX 的权力,三天后我们再取消该权力,显然没有权限的设计会缺乏灵活性。

ASP.NET 2.0 的角色管理授权,由 RoleManagerModule、Roles、RoleProvider、RolePrincipa 共同组成。系统会自动载入 RoleManagerModule 这个 HttpModule,Roles 为用户提供角色相关的操作方法,而 RoleProvider 自然是提供程序的抽象类了。至于 RolePrincipa 干什么用,看看下面的代码自然就明白了。

System.Web.Security.RoleManagerModule

private void OnEnter(object source, EventArgs eventArgs)
{
   // ...
   // 注意下面的代码, RoleManagerModule 使用 RolePrincipal 替代了缺省的 GenericPrincipal。
   if (!(context1.User is RolePrincipal))
   {
     context1.User = new RolePrincipal(context1.User.Identity);
yangfcf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET-角色管理
冯大宝的博客
04-11 1734
ASP.NET提供了成员资格管理功能。其核心是利用内置的成员库表(SQL Server)、成员资格管理API(Menbership、MenbershipUser等)、成员资格提供程序(SqlMembershipProvider等),实现模块化和自动化的成员资格管理模式。一、成员资格简介:ASP.NET成员资格支持下列功能:创建新用户和密码。将成员资格信息(用户名、密码和支持数据)存储在Micros...
Asp.Net Core 2.0角色权限认证
dotNET跨平台
10-10 5636
在使用 WebForm 技术开发网站的时候,微软就提供了 Form 身份认证,这使得登录认证简单了许多,不同于 WebForm 以及后来的 Asp.Net Mvc,Asp.Net Core 中的身份认证与之前相比使用更加便捷,本文介绍 Asp.Net Core 2.0角色授权认证,首先我们需要在 Startup.cs 中开启授权认证相关模块(中间件),代码如下: services.AddAu
ASP.NET 2.0角色成员管理初窥
02-01
ASP.NET 2.0角色成员管理初窥,是asp。net程序员必看的书籍,学会它可以使你的编程水平更上一层楼
ASP.NET 2.0 成员资格角色管理授权
weixin_34119545的博客
01-04 127
从严格意义上来说,ASP.NET 2.0成员资格角色管理授权.NET 角色安全性没有多大关系。只不过,Microsoft 替我们完成了一些原本需要我们自己进行的工作而已。 在这两种新的技术中使用的"提供程序模型"倒是值得我们好好学习一下,因为这个 IoC 概念非常相似。 成员资格 成员资格提供了通用的用户管理功能,诸如注册、登录、找回密码等,加上与之配套的可视化控件,我们“几...
ASP.NET 2.0中的成员管理角色管理
weixin_30617797的博客
01-03 97
1. 成员服务 使用ASP.NET Web Site Administration Tool创建配置网站的权限信息。该工具在http://localhost/<项目名>/webadmin.axd,通过配置,该工具将直接生成一个web.config的文件用于存贮成员信息。 在asp.net2.0中也提供了两个类用于成员管理,这两个类是Membership和Memb...
asp.net 2.0教程 成员资格角色管理
徜徉在微软的陷阱
10-08 875
每一个完善的网站管理系统都应该包括用户管理角色管理,都包含用户注册、密码修改、用户登录、身份验证等功能。在asp.net 1.x时代,程序员为了这些常用的功能反复做着重复性的工作,今天的asp.net 2.0替我们封装了这些常用控件及机制,给我们带来了诸多便利。接下来两节我们就来学习这方面的内容。这一节我们讲述asp.net 2.0成员资格角色管理部分。1、asp.net的身份验证
Asp.net中基于角色验证授权
不是程序员
12-03 2321
Asp.net的身份验证有有三种,分别是”Windows | Forms | Passport”,其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cookie一起发送到服务端。服务端上的授权设置就可以根据不同目录对不同用户的
ASP.NET2.0的安全和角色管理
05-17
在这份名为"ASP.NET2.0的安全和角色管理"的幻灯片中,我们可以预期深入探讨以下几个关键知识点: 1. **身份验证(Authentication)**:ASP.NET 2.0支持多种身份验证模式,包括Windows身份验证、Forms身份验证和...
ASP.NET 2.0快速入门(6):ASP.NET 2.0 成员管理
05-09
4. **角色管理**:除了成员资格ASP.NET 2.0还提供了角色管理(Role Provider),用于分组用户并分配特定权限。RoleManager控件可以帮助创建、删除角色,而AuthorizeAttribute可以用来限制只有某些角色的用户才能...
ASP.NET 2.0 程序安全的基础知识
10-29
在*** 2.0中,身份、验证授权的概念被封装在.NET框架提供的成员资格(Membership)、角色管理(Roles)和配置文件(Profile)三大框架组件中。使用这些框架组件可以帮助开发人员快速建立和管理用户账户、权限和...
完全手册:asp.net 2.0网络开发详解
06-27
4. 角色成员资格管理ASP.NET 2.0内置了强大的身份验证授权系统,通过成员资格提供用户注册和登录功能,通过角色管理实现对不同用户组的权限控制。这为创建安全的多用户Web应用提供了便利。 5. 状态管理:ASP...
.net 2.0成员资格管理示例
04-26
.NET 2.0框架引入了一套完整的成员资格(Membership)和角色(Role)管理系统,它为...开发者可以从这个示例中学到如何有效地管理用户注册、登录、权限分配以及角色的创建和管理,从而提升应用程序的安全性和用户体验。
Asp.Net的基于Forms的验证机制--角色授权
afhu47033的博客
08-24 141
构建基于forms的验证机制过程如下:     1,设置IIS为可匿名访问和asp.net web.config中设置为form验证     2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用)     简单无role方式:     使用FormsAuthenticationTicket创建一个Cookie并回发到客户端,并存储 角色到票中,如:   ...
ASP.NET 授权角色 Part.1(URL授权、代码授权
weixin_34124651的博客
04-16 115
       授权是决定一个已验证用户是否拥有足够的权限执行特定操作的过程。可以是请求一个网页、访问一个由操作系统控制的资源(文件或数据库等)或执行一个应用程序特定任务等。   URL 授权        设置安全权限最直接的方式是对单独的网页、Web服务、下级目录进行设置。理想的情况下,Web 程序框架应当支持资源特定的授权,而无需更改代码和重新编译程序。ASP.NET 通过 web.co...
ASP.NET 角色管理
李蒙恩的编程技术博客
04-15 437
ROLE类的属性ROLE类的方法启用角色管理
使用.NET 2.0成员资格管理的基本步骤
冯方方的专栏
08-17 2196
 .Net 2.0提供了成员资格管理,本文简单介绍使用成员资格管理的基本步骤。1.使用aspnet_regsql创建数据库打开Visual Studio 2005 Command Prompt,输入aspnet_regsql,根据向导创建aspnetdb数据库,保存用户信息。2.Web.config文件中更改配置3..选择网站/ASP.NET 配置,可以对成员资格进行一些手工的配置。4.创建New
使用 Membership.ValidateUser(Login1.UserName, Login1.Password)验证用户
xwdreamer的专栏
03-22 5264
      要为后台写一个登陆界面,asp.net 自带Login空间,因为直接就可以了。      双击添加的Login空间将出现如下代码: protected void Login1_Authenticate(object sender, AuthenticateEventArgs e) { bool Authenticated = false;
文件读写——C++
yangfcf的专栏
06-30 804
C++文件流:fstream  // 文件流ifstream  // 输入文件流ofstream  // 输出文件流//创建一个文本文件并写入信息//同向屏幕上输出信息一样将信息输出至文件#include#includevoid main(){  ofstream f1("d://me.txt");           //打开文件用于写,若文件不存在就创建它  if(!f1)return; 
ASP.NET安全详解:身份验证授权角色管理
ASP.NET 2.0引入了成员资格角色管理器,开发者无需编写大量代码,就可以创建基于角色的用户管理系统,简化了权限管理的复杂性。 5. 安全性相关的控件: ASP.NET提供了安全相关的控件,如登录控件,用于方便地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值