ASP.NET 安全认证(二)——灵活运用deny与allow 及保护.htm等文件

第二部分 Form 认证的实战运用 

 

话说上回,简单地说了一下 Form 表单认证的用法。或许大家觉得太简单,对那些大内高手来说应该是“洒洒水啦”“小 Kiss 啦(小意思)”。今天咱们来点的花样吧:古有六扇门,拒收叶孤城;东门不刮风,吹雪姓西门;缎带作凭证,决战紫禁城

 

 

 

 

 

 

 

五、        Web.config 的作用范围

 

 

 

 

 

 

 

新建项目时, VS.Net 会在项目根目录建立一个内容固定的 Web.config。除了在项目根目录,你还可以在任一目录下建立 Web.config ,条件就是应用程序级别的节点只能在根目录的 Web.config 中出现。至于哪些是应用程序级别节点呢,这个问题嘛,其实我也不太清楚,呵呵。电脑不是我发明的,微软不是我创建的,C# 更不是我说了算的,神仙也有不知道的,所以我不晓得是正常的。话虽如此,只要它不报错,那就是对的

 

 

 

 

 

 

 

关于 Web.config 设置的作用范围,记住以下两点:

 

 

 

 

 

 

 

1、  Web.config 的设置将作用于所在目录的所有文件及其子目录下的所有东东(继承:子随父姓)

 

 

 

 

 

 

 

2、  子目录下的 Web.config 设置将覆盖由父目录继承下来的设置(覆盖:县官不如现管)

 

 

 

 

 

 

 

给大家提个问题:有没有比根目录Web.config 的作用范围还大的配置文件呢?看完第三部分便知分晓。

 

 

 

 

 

 

 

六、        学会拒绝与巧用允许

 

 

 

 

 

 

 

回到我们在第一回合新建的测试项目“FormTest ,既然要进行验证,按国际惯例,就得有用户名与密码。那,这些用户是管理员自己在数据库建好呢,还是用户注册、管理员审核好呢。只要不是一般的笨蛋,都知道选择后者。你们还别说,我公司还真有个别项目是管理员连到数据库去建帐号的,属于比较特殊的笨蛋,咱们不学他也罢,还是老老实实添加两个页面吧——注册页面(Register.aspx)与审核页面(Auditing.aspx)。

 

 

 

 

 

 

 

问题终于就要浮出水面啦,当你做好 Register.aspx 时,想访问它的时候突然觉得不对劲,怎么又回到了登录页面?你仔细瞧瞧网址,是不是成了:Login.aspx?ReturnUrl=Register.aspx 。怎么办,用户就是因为没有帐号才去访问注册页面的呀?(这句纯属废话,有帐号谁还跑去注册。)我时常对我的同事说:“办法是人想出来滴!!”

 

 

 

 

 

 

 

1、  新建一个目录 Public ,用于存放一些公用的文件,如万年历、脚本呀……

 

 

 

 

 

 

 

2、  在“解决方案资源管理器”中右击点击目录 Public ,新增一个 Web.config

 

 

 

 

 

 

 

3、  把上述 Web.config 的内容统统删除,仅留以下即可:

 

 

 

 

 

 

 

<?xml version="1.0" encoding="utf-8"?>

 

 

 

 

 

 

 

<configuration>

 

 

 

 

 

 

 

  <system.web>

 

 

 

 

 

 

 

   <authorization><allow users="*"/></authorization>

 

 

 

 

 

 

 

 </system.web>

 

 

 

 

 

 

 

</configuration>

 

 

 

 

 

 

 

终于切入正题了,不容易呀。根据“覆盖”原则,我们知道上述 Web.config 将替代根目录 Web.config 中的 <authorization> 节点设置,即:

 

 

 

 

 

 

 

       <allow users="*"/> 替换 <deny users="?"></deny>

 

 

 

 

 

 

 

注解:“allow”允许的意思;“*”表示所有用户;

 

 

 

 

 

 

 

        deny 拒绝的意思;“?”表示匿名用户;

 

 

 

 

 

 

 

因此,处于 Public 目录下的文件,允许所有人浏览,包括未验证的用户。把 Register.aspx 进来吧,再也不会有人阻止你浏览啦。

 

 

 

 

 

 

 

除了注册页面,我们还提到一个审核页面(Auditing.aspx),审核权限一般都在管理员或主管手里,并不想让其他人浏览此页面(真理往往掌握在少数人的手里,这也是没法子的事),怎么办?“办法是人想出来滴”呵呵……新建一个管理员的目录 ManageSys ,在此目录下再新增一个 Web.config。内容如下:

 

 

 

 

 

 

 

<?xml version="1.0" encoding="utf-8"?>

 

 

 

 

 

 

 

<configuration>

 

 

 

 

 

 

 

<system.web>

 

 

 

 

 

 

 

<authorization>

 

 

 

 

 

 

 

<allow users="Admin"/>

 

 

 

 

 

 

 

<deny users="*"/>

 

 

 

 

 

 

 

</authorization>

 

 

 

 

 

 

 

  </system.web>

 

 

 

 

 

 

 

</configuration>

 

 

 

 

 

 

 

现在的问题就是怎么才能知道谁是“Admin”呢,这个问题就有点象“我的鞋底有个洞”—— 天不知地知,你不知我知。闲话少说(要是有稿费多好,我就有多写几个字的动力,唉……),大家还记得我在第一部分的结尾吗?什么,忘啦!罚你回去看一百遍,记住了再回来。站住,回来!一想到你的记性,我就不放心,第一部分的浏览网址是http://blog.csdn.net/cityhunter172/archive/2005/11/06/524043.aspx ,回到此处的网址是http://blog.csdn.net/cityhunter172/archive/2005/11/13/528463.aspx

 

 

 

 

 

 

 

好了,不管那些记不好的家伙了,大伙继续往下看。

 

 

 

 

 

 

 

System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false); //通过验证,发放 Cookie

 

 

 

 

 

 

 

之前我曾强调,要注意,第一个参数很重要,重要到什么程度?说到这,恐怕地球人都知道了——它就是allowdeny的依据。假如此处用户填写的是“Admin”即 this.Txt_UserName.Text = "Admin"; 那么进入系统后,他就能访问 ManageSys 目录下的网页了,其它闲杂人等一律拒之门外。

 

 

 

 

 

 

 

为巩固上述内容,给大伙留个课外作业:此项目有两部门使用,其中每个部门分别都有些特定的页面仅供本部门用户浏览使用,请问该如何使用 Web.config 达到效果?同样,答案在第三部分揭晓

 

 

 

 

 

 

 

七、        分散与集中

 

 

 

 

 

 

 

乍看之下,就象是马克思列宁主义、毛泽东思想、邓小平理论中的辩证关系,大伙放心,偶是学理科的,只明白“高举程序员的伟大旗帜,以编写代码为中心”。停……

 

 

 

 

 

 

 

到目前为此,我们的测试项目“FormTest”已经拥有两个目录三个 Web.config ,伴随用户需求的多样化,Web.config 也会越来越多,比如常用的文件上传功能等等。众多的 Web.config 分布在不同的目录里面,维护起来肯定比较烦人。能不能集中起来管理呢,应该咋办哩?“办法是……”哟,有人先说出来啦。不错,“办法的确是人想出来滴” ,我不说,你是不是只有在一边凉伴?开玩笑的,为了让更多的人记住这句话,我打算告诉你集中管理的办法。

 

 

 

 

 

 

 

要想集中管理,不得不用到 <location> 节点与 path 属性。在本项目中,我们将目录 Public ManageSys 下的设置放在根目录下的 Web.config 里面,如下:

<?xml version="1.0" encoding="utf-8"?>

 

 

 

 

 

 

 

<configuration>

 

 

 

 

 

 

 

<location path ="Public">

 

 

 

 

 

 

 

            <system.web>

 

 

 

 

 

 

 

                <authorization>

 

 

 

 

 

 

 

<allow users="*"/>

 

 

 

 

 

 

 

</authorization>

 

 

 

 

 

 

 

            </system.web>

 

 

 

 

 

 

 

       </location>

 

 

 

 

 

 

 

<location path ="ManageSys">

 

 

 

 

 

 

 

            <system.web>

 

 

 

 

 

 

 

       <authorization>

 

 

 

 

 

 

 

<allow users="Admin"/>

 

 

 

 

 

 

 

<deny users="*"/>

 

 

 

 

 

 

 

</authorization>

 

 

 

 

 

 

 

            </system.web>

 

 

 

 

 

 

 

       </location>

 

 

 

 

 

 

 

       <system.web>

 

 

 

 

 

 

 

                            <!-- 这里放置原来根目录 Web.config 的内容,就不列出来了 -->

(本文出自寒羽枫 cityhunter172 的博客:http://blog.csdn.net/cityhunter172 个人站点:http://172.meibu.com

 

 

 

 

 

 

 

       </system.web>

 

 

 

 

 

 

 

</configuration>

 

 

 

 

 

 

 

       需要提醒的是

 

 

 

 

 

 

 

1、  <location> 节点的位置是在 <<SPAN lang=EN-US style="FONT-SIZE: 9pt; COLOR: maroon; FONT-FAMILY: 新宋体; mso-hansi-font

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值