ASP.NET 安全認證(一):如何運用 Form 表單認證

來源:互聯網
上載者:User
asp.net|安全

代碼寫 N 久了,總想寫得別的。這不,上頭說在整合兩個項目,做成單一登入(Single Sign On),也有人稱之為“單點登入”。查閱相關文檔後,終於實現了,現在把它拿出來與大家一起分享。或許大家會問:“這與標題不符呀?”別急,在下筆之前,我腦子裡想到了我剛使用 Form 認證時遇到的一些問題,以及使用過程用到的一些技巧(實乃投機取巧是也 ^_^ )。偶打初中那時,語文水平就不怎麼滴,考試常常作文寫不出來,所以寫作水平有限,還請大家海量。對了,本人不僅寫作水平有限,編程能力也不是很好,此文供大家學習交流之用,歡迎廣大勞苦群眾拎著雞蛋、捧著鮮花前來評論。轉載請註明原創作者乃寒羽楓是也,不甚感激!

廢話也說的差不多了,言歸正傳, ASP.NET 的安全認證,共有“Windows”“Form”“Passport”“None”四種驗證模式。“Windows”與“None”沒有起到保護的作用,不推薦使用;“Passport”我又沒用過,唉……所以我只好講講“Form”認證了。我打算分三部分:

第一部分 —— 怎樣實現From 認證;

第二部分 —— Form 認證的實戰運用;

第三部分 —— 實現單點登入(Single Sign On)

第一部分 如何運用 Form 表單認證

一、建立一個測試專案

為了更好說明,有必要建立一個測試專案(暫且為“FormTest”吧),包含三張頁面足矣(Default.aspx、Login.aspx、UserInfo.aspx)。啥?有人不會建立項目,不會新增頁面?你問我咋辦?我看這麼辦好了:拖出去,打回原藉,從幼兒園學起……

二、修改 Web.config

1、  雙擊項目中的Web.config(不會的、找不到的打 PP)

2、  找到下列文字 <authentication mode="Windows" /> 把它改成:

<authentication mode="Forms">
<forms loginUrl="Login.aspx" name=".ASPXAUTH"></forms>
</authentication>

3、找到<authorization> <allow users="*" /></authorization>換成

<authorization><deny users="?"></deny></authorization>

這裡沒什麼好說的,只要拷貝過去就行。雖說如此,但還是有人會弄錯,如下:

<authentication mode="Forms">
       <forms loginUrl="Login.aspx" name=".APSX"></forms>
<deny users="?"></deny>
 </authentication>

若要問是誰把 <deny users="?"></deny> 放入 <authentication> 中的,我會很榮幸地告訴你,那是 N 年前的我:<authentication> 與 <authorization> 都是以 auth 字母開頭又都是以 ation 結尾,何其相似;英文單詞背不下來的我以為他們是一夥的……

三、編寫 .cs 代碼——登入與退出

1、  登入代碼:

a、  書本上介紹的

         private void Btn_Login_Click(object sender, System.EventArgs e)
         {
              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
              {
     System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.Txt_UserName.Text,false);
     }
}

b、  偶找了 N 久才找到的

private void Btn_Login_Click(object sender, System.EventArgs e)
         {
              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
              {
System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false);
     Response.Redirect("Default.aspx");
     }
}

以上兩種都可發放驗證後的 Cookie ,即通過驗證,區別:

方法 a) 指驗證後返回請求頁面,俗稱“從哪來就打哪去”。比如:使用者沒登入前直接在 IE 地址欄輸入 http://localhost/FormTest/UserInfo.aspx ,那麼該使用者將看到的是 Login.aspx?ReturnUrl=UserInfo.aspx ,輸入使用者名稱與密碼登入成功後,系統將根據“ReturnUrl”的值,返回相應的頁面

方法 b) 則是分兩步走:通過驗證後就直接發放 Cookie ,跳轉頁面將由程式員自行指定,此方法多用於 Default.aspx 使用架構結構的系統。

2、  結束代碼:
 
private void Btn_LogOut_Click(object sender, System.EventArgs e)
     {
System.Web.Security.FormsAuthentication.SignOut();
}

四、如何判斷驗證與否及擷取驗證後的使用者資訊

有的時候,在同一張頁面需要判斷使用者是否已經登入,然後再呈現不同的布局。有人喜歡用 Session 來判斷,我不反對此類做法,在此我只是想告訴大家還有一種方法,且看下面代碼:

if(User.Identity.IsAuthenticated)
         {
              //你已通過驗證,知道該怎麼做了吧?
}

User.Identity 還有兩個屬性AuthenticationType(驗證類型)與 Name(使用者名稱稱) ,大家要注意的是 Name 屬性,此處的User.Identity.Name將得到,驗證通過(RedirectFromLoginPage 或SetAuthCookie)時,我們帶入的第一個參數 this.Txt_UserName.Text 。這個參數很重要,關係到種種……種種的情況,何出此言,且聽下回分解……



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。