ASP.NET 安全認證(一)

來源:互聯網
上載者:User
asp.net|安全

代碼寫 N 久了,總想寫得別的。這不,上頭說在整合兩個項目,做成單一登入(Single Sign On),也有人稱之為“單點登入”。查閱相關文檔後,終於實現了,現在把它拿出來與大家一起分享。或許大家會問:“這與標題不符呀?”別急,在下筆之前,我腦子裡想到了我剛使用 Form 認證時遇到的一些問題,以及使用過程用到的一些技巧(實乃投機取巧是也 ' )。偶打初中那時,語文水平就不怎麼滴,考試常常作文寫不出來,所以寫作水平有限,還請大家海量。對了,本人不僅寫作水平有限,編程能力也不是很好,此文供大家學習交流之用,歡迎廣大勞苦群眾拎著雞蛋、捧著鮮花前來評論。轉載請註明原創作者乃寒羽楓是也,不甚感激!

 

 

廢話也說的差不多了,言歸正傳, ASP.NET 的安全認證,共有“Windows”“Form”“Passport”“None”四種驗證模式。“Windows”與“None”沒有起到保護的作用,不推薦使用;“Passport”我又沒用過,唉……所以我只好講講“Form”認證了。我打算分三部分:

 

 

第一部分 —— 怎樣實現From 認證;

 

 

第二部分 —— Form 認證的實戰運用;

 

 

第三部分 —— 實現單點登入(Single Sign On)

 

 

第一部分 如何運用 Form 表單認證

 

 

一、        建立一個測試專案

 

 

為了更好說明,有必要建立一個測試專案(暫且為“FormTest”吧),包含三張頁面足矣(Default.aspx、Login.aspx、UserInfo.aspx)。啥?有人不會建立項目,不會新增頁面?你問我咋辦?我看這麼辦好了:拖出去,打回原藉,從幼兒園學起……

 

 

二、        修改 Web.config

 

 

1、  雙擊項目中的Web.config(不會的、找不到的打 PP)

 

 

2、  找到下列文字 <authentication mode="Windows" /> 把它改成:

<authentication mode="Forms">

 

 

<forms loginUrl="Login.aspx" name=".ASPXAUTH"></forms>

 

 

</authentication>

 

 

3、  找到<authorization> <allow users="*" /></authorization>換成

<authorization><deny users="?"></deny></authorization>


 


 


這裡沒什麼好說的,只要拷貝過去就行。雖說如此,但還是有人會弄錯,如下:

<authentication mode="Forms">

       <forms loginUrl="Login.aspx" name=".APSX"></forms>

<deny users="?"></deny>

 </authentication>

若要問是誰把 <deny users="?"></deny> 放入 <authentication> 中的,我會很榮幸地告訴你,那是 N 年前的我:<authentication> 與 <authorization> 都是以 auth 字母開頭又都是以 ation 結尾,何其相似;英文單詞背不下來的我以為他們是一夥的……

三、        編寫 .cs 代碼——登入與退出

1、  登入代碼:

a、  書本上介紹的

         private void Btn_Login_Click(object sender, System.EventArgs e)

         {

              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")

              {

     System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.Txt_UserName.Text,false);

     }

}

b、  偶找了 N 久才找到的

private void Btn_Login_Click(object sender, System.EventArgs e)

         {

              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")

              {

System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false);

     Response.Redirect("Default.aspx");

     }

}

以上兩種都可發放驗證後的 Cookie ,即通過驗證,區別:

方法 a) 指驗證後返回請求頁面,俗稱“從哪來就打哪去”。比如:使用者沒登入前直接在 IE 地址欄輸入 http://localhost/FormTest/UserInfo.aspx ,那麼該使用者將看到的是 Login.aspx?ReturnUrl=UserInfo.aspx ,輸入使用者名稱與密碼登入成功後,系統將根據“ReturnUrl”的值,返回相應的頁面

方法 b) 則是分兩步走:通過驗證後就直接發放 Cookie ,跳轉頁面將由程式員自行指定,此方法多用於 Default.aspx 使用架構結構的系統。


 


 


2、  結束代碼:

private void Btn_LogOut_Click(object sender, System.EventArgs e)

     {

System.Web.Security.FormsAuthentication.SignOut();

}

四、        如何判斷驗證與否及擷取驗證後的使用者資訊

有的時候,在同一張頁面需要判斷使用者是否已經登入,然後再呈現不同的布局。有人喜歡用 Session 來判斷,我不反對此類做法,在此我只是想告訴大家還有一種方法,且看下面代碼:

if(User.Identity.IsAuthenticated)

         {

              //你已通過驗證,知道該怎麼做了吧?

}

User.Identity 還有兩個屬性AuthenticationType(驗證類型)與 Name(使用者名稱稱) ,大家要注意的是 Name 屬性,此處的User.Identity.Name將得到,驗證通過(RedirectFromLoginPage 或SetAuthCookie)時,我們帶入的第一個參數 this.Txt_UserName.Text 。這個參數很重要,關係到種種……種種的情況,何出此言,且聽下回分解……

ASP.NET 安全認證(二)—— 靈活運用 Form 表單認證中的 deny 與 allow 及保護 .htm 等檔案

我閃先


 



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。