Asp.Net Forms驗證執行個體

 以前開發項目時經常是自己開發一套使用者權限管理系統進行驗證，比較靈活。最近為了單點登入的問題又把Asp.Net內建的驗證方式看了一遍，發現這種方式也比較方便，功能也還可以。在Asp.Net提供了三種常用的驗證方式：Windows方式是和IIS結合起來可以實現基本、摘要、整合 Windows等身分識別驗證；Passport方式是使用Windows Live ID的帳戶來進行統一驗證的；Forms方式是使用常見的表單來實現驗證。
    一、普通實現方式
   
    這種方式是最簡單的，只需要配置一下就可以了。
   
    1、執行aspnet_regsql命令建立資料庫
   
    aspnet_regsql命令在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727目錄下，按提示運行就可以了

    2、建立一個web網站
   
    在Web.Config中加入配置：

      <connectionStrings>
        <add name="MySqlConnection" connectionString="Data Source=dbserver;Initial Catalog=database;user id=userid;password=****;" />
      </connectionStrings>

      <system.web>
            <authorization>
                <deny users="?"/>
            </authorization>
            <authentication mode="Forms">
                <forms loginUrl="login.aspx" name=".ASPXAUTH"/>
            </authentication>

        <membership defaultProvider="SqlProvider">
          <providers>
            <clear />
            <add connectionStringName="MySqlConnection" applicationName="MyApplication"
              enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="true"
              requiresUniqueEmail="true" passwordFormat="Hashed" name="SqlProvider"
              type="System.Web.Security.SqlMembershipProvider" />
          </providers>
        </membership>

      </system.web>主要就是指定Forms驗證使用的資料庫，如果不指定資料庫會使用本機預設的aspnetdb 資料庫。
    deny users="?"表示不允許匿名使用者存取，也就是說當匿名使用者存取時自動跳轉到下面配置的login.aspx頁面。
    至於authorization和authentication節的其他屬性可以參考MSDN，裡面有很詳細的介紹。

    3、在網站裡建立Default.aspx和Login.aspx頁面
   
    在Login.aspx頁面裡面放入Login和CreateUserWizard控制項(因為我們建立的庫中一個使用者也沒有，CreateUserWizard控制項只是用來建立測試使用者的，建好使用者後可以把這個控制項刪除)
    在Default.aspx頁面中隨便放入一些內容。
    當我們訪問Default.aspx時就會自動轉入Login.aspx進行驗證了。

    二、自訂實現方式
   
    採用第一種方式時會要求建立一個資料庫，很多表，可能並不符合我們自己的業務要求。可以使用以下的自訂方式
    1、利用Login控制項的Authenticate事件
    這個事件就是用來進行驗證的，可以通過指定true值表示驗證通過：
        protected void Login1_Authenticate(object sender, AuthenticateEventArgs e)
        {
            //判斷使用者名稱密碼是否正確
            //
            e.Authenticated = true;
        }
    2、完全拋開Login等控制項，自己寫代碼
    其實Login控制項的核心主要也就是往Cookie裡面放入一些值，那麼我們可以在自己的代碼中來進行這個操作：

      protected void Button1_Click(object sender, EventArgs e)
        {
            //判斷使用者名稱密碼是否正確
            //.
            FormsAuthentication.SetAuthCookie(userName, false);
            if (Context.Request["ReturnUrl"] != null)
            {
                Response.Redirect(Context.Request["ReturnUrl"]);
            }
            else
            {
                Response.Redirect(FormsAuthentication.DefaultUrl);
            }
        }採用以上兩種方式就不用建立預設的資料庫了，直接使用我們的邏輯進行驗證操作

    三、自訂角色提供者
   
    以上說的都是使用者層級的驗證，在有的情況下需要根據角色來進行驗證，比如指定某個目錄或某個aspx檔案只能讓哪幾個角色的使用者訪問，根據角色來控制的話比較方便靈活。
    1、在登入驗證的時候把角色資訊也儲存到Cookie中去：

        protected void Button1_Click(object sender, EventArgs e)
        {
            //判斷使用者名稱密碼是否正確
            //.

            //得到使用者的角色，測試時暫時寫死
            string userRoles = "Admins,testst";
            FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, user, DateTime.Now, DateTime.Now.AddMinutes(30), false, userRoles, "/");
            string HashTicket = FormsAuthentication.Encrypt(Ticket);

            //把角色資訊儲存到Cookie中去
            HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);
            Response.Cookies.Add(UserCookie);

            if (Context.Request["ReturnUrl"] != null)
            {
                Response.Redirect(Context.Request["ReturnUrl"]);
            }
            else
            {
                Response.Redirect(FormsAuthentication.DefaultUrl);
            }
        }把角色資訊加密成特定的格式儲存。

 2、自訂角色提供者
   
    如果要按照角色進行驗證的話，肯定要涉及到角色提供者，在預設情況下也是會去串連預設的資料庫的，我們可以自己寫一個角色提供者來實現自己的邏輯。
    首先在web.config中加入配置：
    Code
        <roleManager defaultProvider="MyRoleProvider"
          enabled="true"
          cacheRolesInCookie="true"
          cookieName=".ASPROLES"
          cookieTimeout="30"
          cookiePath="/"
          cookieRequireSSL="false"
          cookieSlidingExpiration="true"
          cookieProtection="All" >
          <providers>
            <clear />
            <add name="MyRoleProvider"
              type="MyRoleProvider"
              writeExceptionsToEventLog="false" />
          </providers>
        </roleManager>這個就是指定我們的角色提供類MyRoleProvider。
        這個類必須從System.Web.Security.RoleProvider繼承，只要重載實現一個方法就可以了(其他方法返回異常)：
        public override string[] GetRolesForUser(string username)
        {
            FormsIdentity Id = HttpContext.Current.User.Identity as FormsIdentity;
            if (Id != null)
            {
                return Id.Ticket.UserData.Split(new Char[] { ',' });
            }
            return null;
        }也就是從我們之前儲存到Cookie中的值取得使用者角色(FormsAuthentication會自動把儲存的cookie轉化成User內的值)

 

    之後我們就可以在web.config中配置角色驗證規則了：
      <location path="admin">
        <system.web>
          <authorization>
            <allow roles="Admins"/>
            <deny users="*"/>
          </authorization>
        </system.web>
      </location>或者也可以在代碼中判斷：
    bool a = User.IsInRole("testt");判斷起來還是很方便的。

    四、單點登入
   
    使用Forms的單點登入主要是通過machineKey的配置，machineKey 元素對密鑰進行配置，以便將其用於對 Forms 身分識別驗證 Cookie 資料和檢視狀態資料進行加密和解密，並將其用於對進程外工作階段狀態標識進行驗證
    使用這種方式的單點登入目前只能實現相同主機或相同子域網站之間的同步登入，比如www.cnblogs.com和firstyi.cnblogs.com可以實現，但是www.cnblogs.com和www.sina.com.cn就不能實現了，對於非同一父網域名稱下的網域名稱間不能跨站登入
    主要配置如下：
      <machineKey validationKey="282487E295028E59B8F411ACB689CCD6F39DDD21E6055A3EE480424315994760ADF21B580D8587DB675FA02F79167413044E25309CCCDB647174D5B3D0DD9141" decryptionKey="8B6697227CBCA902B1A0925D40FAA00B353F2DF4359D2099" validation="SHA1"/>
      <authentication mode="Forms">
          <forms loginUrl="login.aspx" name=".ASPXAUTH1" domain=".cnblogs.com" />
      </authentication>要實現單點登入的多個web網站的machineKey必須一樣，forms裡面的name和domain也必須一樣
    這樣配置好之後，在其中一個網站登入後再調轉到另一個網站就不需要再次登入了。
    註：如果MOSS網站採用Forms驗證方式的話，只要把MOSS網站的對應配置改成和自己的Asp.Net網站一致，那麼可以從自己的網站直接進入MOSS網站，也不需要重新登入(MOSS網站和自己的網站要有相同的使用者名稱)

    其他：
    Forms驗證之後可以使用以下方法退出登入：
    FormsAuthentication.SignOut();
    另外這些登入的後台Module是配置在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config檔案中的：
    <add name="WindowsAuthentication" type="System.Web.Security.WindowsAuthenticationModule"/>
    <add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule"/>
    <add name="PassportAuthentication" type="System.Web.Security.PassportAuthenticationModule"/>