asp.net|安全
代碼寫 N 久了,總想寫得別的。這不,上頭說在整合兩個項目,做成單一登入(Single Sign On),也有人稱之為“單點登入”。查閱相關文檔後,終於實現了,現在把它拿出來與大家一起分享。或許大家會問:“這與標題不符呀?”別急,在下筆之前,我腦子裡想到了我剛使用 Form 認證時遇到的一些問題,以及使用過程用到的一些技巧(實乃投機取巧是也 ^_^ )。偶打初中那時,語文水平就不怎麼滴,考試常常作文寫不出來,所以寫作水平有限,還請大家海量。對了,本人不僅寫作水平有限,編程能力也不是很好,此文供大家學習交流之用,歡迎廣大勞苦群眾拎著雞蛋、捧著鮮花前來評論。轉載請註明原創作者乃寒羽楓是也,不甚感激!
廢話也說的差不多了,言歸正傳, ASP.NET 的安全認證,共有“Windows”“Form”“Passport”“None”四種驗證模式。“Windows”與“None”沒有起到保護的作用,不推薦使用;“Passport”我又沒用過,唉……所以我只好講講“Form”認證了。我打算分三部分:
第一部分 —— 怎樣實現From 認證;
第二部分 —— Form 認證的實戰運用;
第三部分 —— 實現單點登入(Single Sign On)
第一部分 如何運用 Form 表單認證
一、建立一個測試專案
為了更好說明,有必要建立一個測試專案(暫且為“FormTest”吧),包含三張頁面足矣(Default.aspx、Login.aspx、UserInfo.aspx)。啥?有人不會建立項目,不會新增頁面?你問我咋辦?我看這麼辦好了:拖出去,打回原藉,從幼兒園學起……
二、修改 Web.config
1、 雙擊項目中的Web.config(不會的、找不到的打 PP)
2、 找到下列文字 <authentication mode="Windows" /> 把它改成:
<authentication mode="Forms">
<forms loginUrl="Login.aspx" name=".ASPXAUTH"></forms>
</authentication>
3、找到<authorization> <allow users="*" /></authorization>換成
<authorization><deny users="?"></deny></authorization>
這裡沒什麼好說的,只要拷貝過去就行。雖說如此,但還是有人會弄錯,如下:
<authentication mode="Forms">
<forms loginUrl="Login.aspx" name=".APSX"></forms>
<deny users="?"></deny>
</authentication>
若要問是誰把 <deny users="?"></deny> 放入 <authentication> 中的,我會很榮幸地告訴你,那是 N 年前的我:<authentication> 與 <authorization> 都是以 auth 字母開頭又都是以 ation 結尾,何其相似;英文單詞背不下來的我以為他們是一夥的……
三、編寫 .cs 代碼——登入與退出
1、 登入代碼:
a、 書本上介紹的
private void Btn_Login_Click(object sender, System.EventArgs e)
{
if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
{
System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.Txt_UserName.Text,false);
}
}
b、 偶找了 N 久才找到的
private void Btn_Login_Click(object sender, System.EventArgs e)
{
if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
{
System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false);
Response.Redirect("Default.aspx");
}
}
以上兩種都可發放驗證後的 Cookie ,即通過驗證,區別:
方法 a) 指驗證後返回請求頁面,俗稱“從哪來就打哪去”。比如:使用者沒登入前直接在 IE 地址欄輸入 http://localhost/FormTest/UserInfo.aspx ,那麼該使用者將看到的是 Login.aspx?ReturnUrl=UserInfo.aspx ,輸入使用者名稱與密碼登入成功後,系統將根據“ReturnUrl”的值,返回相應的頁面
方法 b) 則是分兩步走:通過驗證後就直接發放 Cookie ,跳轉頁面將由程式員自行指定,此方法多用於 Default.aspx 使用架構結構的系統。
2、 結束代碼:
private void Btn_LogOut_Click(object sender, System.EventArgs e)
{
System.Web.Security.FormsAuthentication.SignOut();
}
四、如何判斷驗證與否及擷取驗證後的使用者資訊
有的時候,在同一張頁面需要判斷使用者是否已經登入,然後再呈現不同的布局。有人喜歡用 Session 來判斷,我不反對此類做法,在此我只是想告訴大家還有一種方法,且看下面代碼:
if(User.Identity.IsAuthenticated)
{
//你已通過驗證,知道該怎麼做了吧?
}
User.Identity 還有兩個屬性AuthenticationType(驗證類型)與 Name(使用者名稱稱) ,大家要注意的是 Name 屬性,此處的User.Identity.Name將得到,驗證通過(RedirectFromLoginPage 或SetAuthCookie)時,我們帶入的第一個參數 this.Txt_UserName.Text 。這個參數很重要,關係到種種……種種的情況,何出此言,且聽下回分解……