ASP.NET 安全認證（一）：如何運用 Form 表單認證

asp.net|安全

代碼寫 N 久了，總想寫得別的。這不，上頭說在整合兩個項目，做成單一登入（Single Sign On），也有人稱之為“單點登入”。查閱相關文檔後，終於實現了，現在把它拿出來與大家一起分享。或許大家會問：“這與標題不符呀？”別急，在下筆之前，我腦子裡想到了我剛使用 Form 認證時遇到的一些問題，以及使用過程用到的一些技巧（實乃投機取巧是也 ^_^ ）。偶打初中那時，語文水平就不怎麼滴，考試常常作文寫不出來，所以寫作水平有限，還請大家海量。對了，本人不僅寫作水平有限，編程能力也不是很好，此文供大家學習交流之用，歡迎廣大勞苦群眾拎著雞蛋、捧著鮮花前來評論。轉載請註明原創作者乃寒羽楓是也，不甚感激！

廢話也說的差不多了，言歸正傳， ASP.NET 的安全認證，共有“Windows”“Form”“Passport”“None”四種驗證模式。“Windows”與“None”沒有起到保護的作用，不推薦使用；“Passport”我又沒用過，唉……所以我只好講講“Form”認證了。我打算分三部分：

第一部分 —— 怎樣實現From 認證；

第二部分 —— Form 認證的實戰運用；

第三部分 —— 實現單點登入（Single Sign On）

第一部分 如何運用 Form 表單認證

一、建立一個測試專案

為了更好說明，有必要建立一個測試專案（暫且為“FormTest”吧），包含三張頁面足矣（Default.aspx、Login.aspx、UserInfo.aspx）。啥？有人不會建立項目，不會新增頁面？你問我咋辦？我看這麼辦好了：拖出去，打回原藉，從幼兒園學起……

二、修改 Web.config

1、  雙擊項目中的Web.config（不會的、找不到的打 PP）

2、  找到下列文字 <authentication mode="Windows" /> 把它改成：

<authentication mode="Forms">
<forms loginUrl="Login.aspx" name=".ASPXAUTH"></forms>
</authentication>

3、找到<authorization> <allow users="*" /></authorization>換成

<authorization><deny users="?"></deny></authorization>

這裡沒什麼好說的，只要拷貝過去就行。雖說如此，但還是有人會弄錯，如下：

<authentication mode="Forms">
       <forms loginUrl="Login.aspx" name=".APSX"></forms>
<deny users="?"></deny>
 </authentication>

若要問是誰把 <deny users="?"></deny> 放入 <authentication> 中的，我會很榮幸地告訴你，那是 N 年前的我：<authentication> 與 <authorization> 都是以 auth 字母開頭又都是以 ation 結尾，何其相似；英文單詞背不下來的我以為他們是一夥的……

三、編寫 .cs 代碼——登入與退出

1、  登入代碼：

a、  書本上介紹的

         private void Btn_Login_Click(object sender, System.EventArgs e)
         {
              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
              {
     System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.Txt_UserName.Text,false);
     }
}

b、  偶找了 N 久才找到的

private void Btn_Login_Click(object sender, System.EventArgs e)
         {
              if(this.Txt_UserName.Text=="Admin" && this.Txt_Password.Text=="123456")
              {
System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false);
     Response.Redirect("Default.aspx");
     }
}

以上兩種都可發放驗證後的 Cookie ，即通過驗證，區別：

方法 a) 指驗證後返回請求頁面，俗稱“從哪來就打哪去”。比如：使用者沒登入前直接在 IE 地址欄輸入 http://localhost/FormTest/UserInfo.aspx ，那麼該使用者將看到的是 Login.aspx?ReturnUrl=UserInfo.aspx ，輸入使用者名稱與密碼登入成功後，系統將根據“ReturnUrl”的值，返回相應的頁面

方法 b) 則是分兩步走：通過驗證後就直接發放 Cookie ，跳轉頁面將由程式員自行指定，此方法多用於 Default.aspx 使用架構結構的系統。

2、  結束代碼：
 
private void Btn_LogOut_Click(object sender, System.EventArgs e)
     {
System.Web.Security.FormsAuthentication.SignOut();
}

四、如何判斷驗證與否及擷取驗證後的使用者資訊

有的時候，在同一張頁面需要判斷使用者是否已經登入，然後再呈現不同的布局。有人喜歡用 Session 來判斷，我不反對此類做法，在此我只是想告訴大家還有一種方法，且看下面代碼：

if(User.Identity.IsAuthenticated)
         {
              //你已通過驗證，知道該怎麼做了吧？
}

User.Identity 還有兩個屬性AuthenticationType（驗證類型）與 Name（使用者名稱稱） ，大家要注意的是 Name 屬性，此處的User.Identity.Name將得到，驗證通過（RedirectFromLoginPage 或SetAuthCookie）時，我們帶入的第一個參數 this.Txt_UserName.Text 。這個參數很重要，關係到種種……種種的情況，何出此言，且聽下回分解……