[.NET 基于角色安全性验证] 之四:ASP.NET 2.0 成员资格和角色管理授权

最新推荐文章于 2024-08-07 15:27:33 发布
最新推荐文章于 2024-08-07 15:27:33 发布
阅读量278 收藏
点赞数
分类专栏: 技术文章 文章标签: asp.net .net exception httpmodule microsoft null

从严格意义上来说,ASP.NET 2.0 的成员资格、角色管理授权和 .NET 角色安全性没有多大关系。只不过,Microsoft 替我们完成了一些原本需要我们自己进行的工作而已。

在这两种新的技术中使用的"提供程序模型"倒是值得我们好好学习一下,因为这个 IoC 概念非常相似。


成员资格

成员资格提供了通用的用户管理功能,诸如注册、登录、找回密码等,加上与之配套的可视化控件,我们“几乎”不用在编写额外的代码就可以工作。实际上真是如此吗?MemebershipUser 属性太少,显然不大适合我们的商业应用;注册和登录控件有缺乏验证码,缺乏安全性;…… 当然我们还可以使用自定义验证和提供程序,不过如此一来还不如自己参考"提供者模型"开发一套呢,毕竟独立的 Passport 才是我们所需要的,更不要说和既有系统进行整合了,总之 ASP.NET 提供的这个新功能,食之无味,弃之可惜。有关成员资格和角色管理的使用不是本文的重点,详情可参考 MSDN 文档。

成员资格由 Membership、MembershipUser、MembershipProvider 组成,Membership 是个静态类,为用户提供了大量用户相关的操作方法,MembershipUser 则是用户实体类,除了用户属性外也有一些用户自身的操作方法,而 MembershipProvider 自然就是提供程序的基础抽象类了,它规范了提供程序的接口。

单击显示全图,Ctrl+滚轮缩放图片

我们分析一下 Membership 代码(局部代码),看看如何获取真实的目标提供程序对象的。其实过程也很简单,读取配置获取类型信息,然后用反射创建目标提供程序对象实例。

System.System.Web.Security.Membership

复制   保存 
// 我们从 ValidateUser 方法入手。
public static bool ValidateUser(string username, string password)
{
    // 通过 Provider 属性获取提供程序对象
    return Membership.Provider.ValidateUser(username, password);
}

public static MembershipProvider Provider
{
    get
    {
        // 应该是通过 Initialize() 方法获取,并赋值给 s_Provider 变量的。
        Membership.Initialize();
        return Membership.s_Provider;
    }
}

private static void Initialize()
{
    // 从配置文件中读取配置信息
    RuntimeConfig config1 = RuntimeConfig.GetAppConfig();
    MembershipSection section1 = config1.Membership;

    Membership.s_Providers = new MembershipProviderCollection();

    // 使用 ProvidersHelper.InstantiateProviders 方法从配置信息中读取设置。
    ProvidersHelper.InstantiateProviders(section1.Providers, Membership.s_Providers, typeof(MembershipProvider));

    // 将缺省提供程序对象赋值给 s_Provider 变量。
    Membership.s_Provider = Membership.s_Providers[section1.DefaultProvider];
    Membership.s_Initialized = true;
}

public static void ProvidersHelper.InstantiateProviders(ProviderSettingsCollection configProviders, ProviderCollection providers, Type providerType)
{
    // 循环读取配置信息,并创建提供程序对象。
    foreach (ProviderSettings settings1 in configProviders)
    {
        providers.Add(ProvidersHelper.InstantiateProvider(settings1, providerType));
    }
}

public static ProviderBase ProvidersHelper.InstantiateProvider(ProviderSettings providerSettings, Type providerType)
{
    ProviderBase base1 = null;
    try
    {
        // 调用 HttpRuntime.CreatePublicInstance 创建提供程序对象。
        base1 = (ProviderBase) HttpRuntime.CreatePublicInstance(type1);
    }
    catch (Exception exception1)
    {
    }
    return base1;
}

internal static object HttpRuntime.CreatePublicInstance(Type type)
{
    // 利用反射创建对象
    return Activator.CreateInstance(type);
}


下面我们分析一下 Login 控件的源码,我们会发现其内部不过是自动调用 Membership 和 MembershipProvider 进行操作而已。

System.Web.UI.WebControls.Login

复制   保存 
private void AttemptLogin()
{
    if ((this.Page == null) || this.Page.IsValid)
    {
        LoginCancelEventArgs args1 = new LoginCancelEventArgs();
        this.OnLoggingIn(args1);
        if (!args1.Cancel)
        {
            AuthenticateEventArgs args2 = new AuthenticateEventArgs();

            // 调用核心代码
            this.OnAuthenticate(args2);

            // 看到了什么?标准的身份验证代码。详情可以查看上一篇Blog。
            if (args2.Authenticated)
            {
                FormsAuthentication.SetAuthCookie(this.UserNameInternal, this.RememberMeSet);
                this.OnLoggedIn(EventArgs.Empty);
                this.Page.Response.Redirect(this.GetRedirectUrl(), false);
            }
            else
            {
                this.OnLoginError(EventArgs.Empty);
                if (this.FailureAction == LoginFailureAction.RedirectToLoginPage)
                {
                    FormsAuthentication.RedirectToLoginPage("loginfailure=1");
                }
                ITextControl control1 = (ITextControl) this.TemplateContainer.FailureTextLabel;
                if (control1 != null)
                {
                    control1.Text = this.FailureText;
                }
            }
        }
    }
}

protected virtual void OnAuthenticate(AuthenticateEventArgs e)
{
    AuthenticateEventHandler handler1 = (AuthenticateEventHandler) base.Events[Login.EventAuthenticate];
    if (handler1 != null)
    {
        // 用户使用了自定义身份验证服务
        handler1(this, e);
    }
    else
    {
        // 使用成员资格提供程序
        this.AuthenticateUsingMembershipProvider(e);
    }
}

private void AuthenticateUsingMembershipProvider(AuthenticateEventArgs e)
{
    // 使用 LoginUtil.GetProvider 获取成员资格提供程序对象,并调用其 ValidateUser 进行身份验证。
    e.Authenticated = LoginUtil.GetProvider(this.MembershipProvider).ValidateUser(this.UserNameInternal, this.PasswordInternal);
}

internal static LoginUtil.MembershipProvider GetProvider(string providerName)
{
    if (string.IsNullOrEmpty(providerName))
    {
        return Membership.Provider;
    }

    // 调用 Membership 相关属性,获取提供程序对象。
    MembershipProvider provider1 = Membership.Providers[providerName];
    if (provider1 == null)
    {
        throw new HttpException(SR.GetString("WebControl_CantFindProvider"));
    }
    return provider1;
}



角色管理授权

在实际开发中,除了用户(User)和角色(Role)以外,我们还需要权限(Permission)这个概念。角色更像是用户组(Users Group),用户可以加入一个或多个用户组,每个用户组又拥有多个权限。有了权限,我们就可以动态赋予用户组不同的权力,比如我们可以临时授予 A 组执行 XX 的权力,三天后我们再取消该权力,显然没有权限的设计会缺乏灵活性。

ASP.NET 2.0 的角色管理授权,由 RoleManagerModule、Roles、RoleProvider、RolePrincipa 共同组成。系统会自动载入 RoleManagerModule 这个 HttpModule,Roles 为用户提供角色相关的操作方法,而 RoleProvider 自然是提供程序的抽象类了。至于 RolePrincipa 干什么用,看看下面的代码自然就明白了。

System.Web.Security.RoleManagerModule

复制   保存 
private void OnEnter(object source, EventArgs eventArgs)
{
    // ...
    // 注意下面的代码, RoleManagerModule 使用 RolePrincipal 替代了缺省的 GenericPrincipal。
    if (!(context1.User is RolePrincipal))
    {
        context1.User = new RolePrincipal(context1.User.Identity);
    }
}
yom_an
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET-角色管理
冯大宝的博客
04-11 1716
ASP.NET提供了成员资格管理功能。其核心是利用内置的成员库表(SQL Server)、成员资格管理API(Menbership、MenbershipUser等)、成员资格提供程序(SqlMembershipProvider等),实现模块化和自动化的成员资格管理模式。一、成员资格简介:ASP.NET成员资格支持下列功能:创建新用户和密码。将成员资格信息(用户名、密码和支持数据)存储在Micros...
Asp.Net Core 2.0角色权限认证
dotNET跨平台
10-10 5632
在使用 WebForm 技术开发网站的时候,微软就提供了 Form 身份认证,这使得登录认证简单了许多,不同于 WebForm 以及后来的 Asp.Net Mvc,Asp.Net Core 中的身份认证与之前相比使用更加便捷,本文介绍 Asp.Net Core 2.0角色授权认证,首先我们需要在 Startup.cs 中开启授权认证相关模块(中间件),代码如下: services.AddAu
asp.net 2.0教程 成员资格角色管理
sgear
04-09 1943
尊重作者,请保留 www.it55.com 链接字样。http://bk.cnblogs.com/每一个完善的网站管理系统都应该包括用户管理角色管理,都包含用户注册、密码修改、用户登录、身份验证等功能。在asp.net 1.x时代,程序员为了这些常用的功能反复做着重复性的工作,今天的asp.net 2.0替我们封装了这些常用控件及机制,给我们带来了诸多便利。接下来两节我们就来学习这方面的内容
ASP.NET MVC:窗体身份验证角色权限管理示例
weixin_30855761的博客
04-13 132
前言   本来使用Forms Authentication进行用户验证的方式是最常见的,但系统地阐明其方法的文章并不多见,网上更多的文章都是介绍其中某一部分的使用方法或实现原理,而更多的朋友则发文询问如何从头到尾完整第实现用户的注册、登录。因此,Anders Liu在这一系列文章中计划通过一个实际的例子,介绍如何基于Forms Authentication实现: l 用户注册...
ASP.NET2.0的安全和角色管理
05-17
在这份名为"ASP.NET2.0的安全和角色管理"的幻灯片中,我们可以预期深入探讨以下几个关键知识点: 1. **身份验证(Authentication)**:ASP.NET 2.0支持多种身份验证模式,包括Windows身份验证、Forms身份验证和...
ASP.NET 2.0快速入门(6):ASP.NET 2.0 成员管理
05-09
4. **角色管理**:除了成员资格ASP.NET 2.0还提供了角色管理(Role Provider),用于分组用户并分配特定权限。RoleManager控件可以帮助创建、删除角色,而AuthorizeAttribute可以用来限制只有某些角色的用户才能...
完全手册:asp.net 2.0网络开发详解
06-27
4. 角色成员资格管理ASP.NET 2.0内置了强大的身份验证授权系统,通过成员资格提供用户注册和登录功能,通过角色管理实现对不同用户组的权限控制。这为创建安全的多用户Web应用提供了便利。 5. 状态管理:ASP...
.net 2.0成员资格管理示例
04-26
.NET 2.0框架引入了一套完整的成员资格(Membership)和角色(Role)管理系统,它为...开发者可以从这个示例中学到如何有效地管理用户注册、登录、权限分配以及角色的创建和管理,从而提升应用程序的安全性和用户体验。
《零基础学ASP.NET 2.0》第18章 ASP.NET 2.0安全性
09-08
18.1 ASP.NET 2.0 的潜在威胁 312 18.2 使用基于表单的身份验证 312 18.2.1 启用并配置表单身份验证 313 18.2.2 建立登录页面 314 18.2.3 创建资源提供页 316 18.3 Windows身份验证 318 18.4 成员资格角色管理 318...
web基础与http协议与配置
qq_63994746的博客
08-07 579
HTTP(超文本传输协议HyperText Transfer Protocol)协议是互联网上应用最为广泛的一种网络协议, 它是基于TCP协议的应用层传输协议,简单来说就是客户端和服务端进行数据传输的一种规则HTTP/HTTPS是应用层上的协议,建立在传输层TCP之上,客户端通过与服务端进行TCP连接(三次握 手),之后发送HTTP请求与接收HTTP响应都是通过访问Socket接口来调用TCP协议实现。
java.net.URI类介绍
qq_27390023的博客
08-04 341
表示 URIURI类用于创建和操作 URI 对象,支持各种 URI 组成部分的访问和修改。解析 URI:可以解析和处理 URI 的各个组成部分,如方案(scheme)、主机(host)、路径(path)等。构造 URI:支持从字符串创建 URI 对象,并可以将 URI 对象转换回字符串。
进程的等待(非阻塞轮询+阻塞)和替换控制详解
2301_77754590的博客
08-07 1200
在Linux系统中,进程管理是核心功能之一。理解进程的创建、执行和终止是系统编程中的基础。本文将深入探讨Linux中的进程控制机制,包括进程的生命周期、父子进程的交互、以及进程状态的管理
社保薪酬与个税平衡策略.pptx
最新发布
08-07
社保薪酬与个税平衡策略.pptx
Rust语言的环境搭建
08-07
Rust语言的环境搭建,安装最新版的 Rust 编译工具和 Visual Studio Code。
springboot540校园疫情防控系统.zip
08-07
通过对新冠病毒的到来懵生了开发一套关于校园疫情防控系统,本系统采用了Java技术,将所有业务模块采用以浏览器交互的模式,选择MySQL数据库,springboot作为系统的后台框架,开发工具选择My eclipse来进行系统的设计。基本实现了校园疫情防控系统应有的主要功能模块,本系统有管理员、学生。管理员:首页、个人中心、核酸检测管理、体温状态管理、学生管理、学生状态管理、休假申请管理、出入登记管理、疫情知识管理、论坛管理、系统管理。学生权限;首页、个人中心、学生状态管理、休假申请管理、出入登记管理;前台首页:首页、出入登记、疫情知识、论坛信息、疫情公告、个人中心、后台管理、客服等操作。 对系统进行测试,是为了改善了程序逻辑和代码。同时确保系统中所有的程序都能正常运行,所有的功能都能操作,并且该系统有很好的操作体验,实现了对于校园疫情防控系统和护工管理、学校学生管理、政府部门双赢。
项目管理培训实操课件08项目管理模式的优缺点和适用条件.ppt
08-07
项目管理培训实操课件08项目管理模式的优缺点和适用条件.ppt
毕业设计,基于ASP+Access开发的在线花店系统,内含完整源代码,数据库,毕业论文
08-07
毕业设计,基于ASP+Access开发的在线花店系统,内含完整源代码,数据库,毕业论文 在线花店系统将传统的花店经营管理模式与计算机网络的综合经营管理模式结合在一 起。将人、机、物的需求、活动和运作进行系统分析、设计并管理,一实现现代高效、科学且安全的电子商务。 本例通过一个在线花店的实例来介绍ASP与Access数据库结合开发的小型电子商务系统的过程。在系统设计时。从传统花店的经营模式,网上用户需求与业务经营模式,计算机网络管理、系统设计等几方面综合分析,定义系统的输入、输出、实现功能、系统运作能力、系统安全性、系统可维护性等各项需求。其中数据库采用Access,动态网页开发采用ASP,综合应用了ADO、数据库设计、密码、身份验证和缓存等技术。
c++天气预报系统小项目.zip
08-07
优质项目,资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目。 本人系统开发经验充足,有任何使用问题欢迎随时与我联系,我会及时为你解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(若有),项目具体内容可查看下方的资源详情。 【附带帮助】: 若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步。 【本人专注计算机领域】: 有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为你提供帮助,CSDN博客端可私信,为你解惑,欢迎交流。 【适合场景】: 相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可以基于此项目进行扩展来开发出更多功能 【无积分此资源可联系获取】 # 注意 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担。 2. 部分字体以及插图等来自网络,若是侵权请联系删除。积分/付费仅作为资源整理辛苦费用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值