一般來說,網站的身分識別驗證方式都會經過以下幾個步驟:
1、輸入使用者名稱和密碼,單擊確定按鈕。
2、在後台判斷使用者名稱和密碼是否正確,如果錯誤返回提示;如果正確,進入可訪問的頁面。
在ASP時代,通常都會在驗證使用者名稱和密碼是否匹配之後,建立一個Session,然後在每個需要驗證的頁面中判斷Session是否存在,如果存在,則顯示頁面內容;如果不存在,產生提示,並跳轉到登入頁面。
但是,在asp.net時代,這個過程就給大大的減化了,不再需要在每個需要驗證的頁面中去校正Session,只需要進行如下幾步,就可以完成身分識別驗證過程。
第一步:修改web.config檔案。
1、在<system.web>和</system.web>中找到<authentication>節,將其改為“<authentication mode="Forms" />”,其中Forms代表使用表單認證。
2、<system.web>和</system.web>中添加“<authorization><deny users="?"/></authorization>”,其中“<deny users="?"/>”代表拒絕所有的匿名使用者。
第二步:建立login.aspx檔案。
在經過第一步之後,無論使用者訪問網站中的哪個檔案,只要沒有經過身分識別驗證,asp.net會自動跳轉到login.aspx網頁上,並且在URL中使用ReturnUrl參數來傳遞使用者當前訪問的網頁。
假設使用者沒有經過身分識別驗證就直接存取test.aspx檔案,那麼asp.net會自動跳轉了login.aspx網頁,此時瀏覽器視窗中的地址欄中的URL為:“login.aspx?ReturnUrl=%2ftest.aspx”,因此,可以在身分識別驗證通過後,再將網頁跳回到ReturnUrl參數指定的網頁上去。
第三步:在login.aspx檔案中驗證身份。
身分識別驗證方式比較簡單,一般都是建立一個文字框和一個密碼框,使用者輸入使用者名稱和密碼後,單擊提交按鈕,則去資料庫中驗證身份,詳細過程就不寫了,在此只要輸入的使用者名稱為1,密碼為2就認為身分識別驗證通過。
身分識別驗證完畢之後,使用FormsAuthentication.SetAuthCookie()為使用者建立一個身分識別驗證的票據,並將其添加到Cookie中。以後,再訪問網站中的其他網頁,就不需要使用進行身分識別驗證了。單擊提交按鈕後的代碼如下所示。
複製代碼 代碼如下:protected void Button1_Click(object sender, EventArgs e)
{
//身分識別驗證方式,本例中使用者名稱為1,密碼為2
if (TextBox1.Text == "1" && TextBox2.Text == "2")
{
/*
* 為使用者名稱建立一個身分識別驗證票據,並將其添加到響應的Cookie中
* SetAuthCookie的第一個參數為已驗證的使用者的名稱。
* SetAuthCookie的第二個參數為true時代表建立持久Cookie(跨瀏覽器會話儲存的 Cookie),為false則關閉瀏覽器後要重新驗證身份
*/
FormsAuthentication.SetAuthCookie(TextBox1.Text, false);
}
//如果URL中沒有傳遞ReturnUrl參數,則跳轉到Default.aspx,否則跳轉到ReturnUrl參數值指定的網頁
if (string.IsNullOrEmpty(Request.QueryString["ReturnUrl"]))
{
Response.Redirect("Default.aspx");
}
else
{
Response.Redirect(Request.QueryString["ReturnUrl"].ToString());
}
}
短短三步,就可以進行身分識別驗證,是不是很COOL?
本例在VS2005中測試通過。
本例的優點是:過程和代碼十分簡單。
本例的缺點是:對整個網站都必須要進行身分識別驗證,不能指定哪些檔案可以匿名訪問,哪些檔案不能匿名訪問。
