在ASP應用中驗證使用者身份

來源:互聯網
上載者:User
    互動Web應用比那些只提供靜態Web頁面的網站要求考慮更多的安全問題。註冊與密碼是保護敏感資訊最為常用的手段。由於ASP沒有直接提供驗證使用者身份的方法,因此,使用者必須執行登入過程以便應用系統儲存和提取使用者相關資訊。
     一、樣本網站概貌
     本文通過一個樣本網站ASPSecurity說明ASP應用中註冊與密碼保護的一般實現過程。我們把使用者資訊儲存在Web伺服器上的一個Access97資料庫中,DSN名稱為
  ASPSecurity。唯一的資料庫表擁有以下欄位:Signon(文本,註冊的使用者名稱),Password(文本,密碼),LastOn(文本,使用者最後一次訪問時間),TimedOut
  (是/否,是否由於逾時而被系統終止會話)。
  
     系統主要包括以下幾個頁面:
  
     default.htm —— 重新導向瀏覽器到signon.asp頁面。
  
     signon.asp —— 提供登入系統介面。
  
     signedOn.asp —— 成功登入系統之後顯示的頁面。
  
     register.asp —— 新使用者註冊頁面。
  
     預設頁面default.htm只用於將瀏覽器重新導向到signon.asp登入頁面,這由下面這個META標記實現:
  
     < META HTTP-EQUIV="REFRESH" CONTENT="1; URL=signon.asp">
  
     signedOn頁面是整個網站唯一受保護的頁面,必須經過身分識別驗證才能訪問。
   在ASP應用中驗證使用者身份(2)
  錄入人員:asp  發布時間:2005-7-30 19:57:17   (瀏覽37次)
  
  
  二、初始化以及使用者輸入合法性檢查
     當一個ASP應用啟動的時候,IIS就會尋找一個global.asa檔案。如果該檔案存在,就開始執行Application_onStart。在這裡可以初始化應用級的變數和常量。下面的代碼在Application_OnStart中初始化一個數組來跟蹤任意時刻登入系統的所有使用者:
  
  Sub Application_OnStart
  Application("Users") = Array()
  End Sub
  
     在執行Application_OnStart之後,ASP引擎建立一個Session對象並初始化
  SessionID,然後觸發Session_OnStart事件。在這裡可以初始化會話級(和特定使用者相關的)變數和常量:
  
  sub Session_OnStart
  Session.Timeout=1
  ' 資料庫DSN
  Session("ConnectionString") = "ASPSecurity"
  Session("ConnectionTimeout") = 15
  ' 讀/寫方式
  Session("Mode") = 3
  end sub
  
     考慮到使用者的瀏覽器可能不支援Cookies或關閉了Cookies功能,因此必須在第一個ASP頁面中檢查Cookies的支援情況並把結果儲存在一個Session變數中。此外,當使用者在登入頁面中單擊“登入”按鈕,還應該檢查使用者輸入的合法性,如下面的代碼所示,其中ASPSecurity.inc提供一些公用函數(如signUserOn用於驗證使用者身份):
  
  < %@ Language=VBScript %>
  < % option explicit %>
  < % Response.buffer = true %>
  < !-- #INCLUDE FILE="ASPSecurity.inc" -->
  < %
  dim aSignon
  dim aPassword
  dim dataValidated
  dataValidated = false
  ' 檢查瀏覽器是否支援Cookies
  Session("SupportsCookies") = (instr(1, Request.ServerVariables
  ("HTTP_COOKIE"), "ASPSESSIONID", vbTextCompare) > 0)
  if Request("Action") = "登入" then
  aSignon = lcase(trim(Request.Form("Signon")))
  aPassword = lcase(trim(Request.Form("Password")))
  if len(aSignon) = 0 then
  Session("msg") = "請輸入使用者名稱字."
  end if
  if len(aPassword) = 0 then
  Session("msg") = "請輸入密碼."
  else
  dataValidated=true
  end if
  if dataValidated then
  if signUserOn(aSignon, aPassword) then
  ' 使用者身份被證實,允許進入受保護頁面
  Response.Redirect "signedOn.asp?ID=" & Session("ID")
  end if
  end if
  elseif Request("Action") = "註冊" then
  Response.Redirect "register.asp"
  end if
  %>
  
  
     對於註冊頁面,除了要檢查使用者是否完整地輸入所有內容之外,還應該檢查兩次輸入密碼是否相同、使用者名稱字是否與資料庫中已有記錄衝突等。實現代碼請參見本文所附的ZIP檔案。
  
     由於使用者每次啟動瀏覽器串連到伺服器時SessionID都是不同的,所以不能直接用它來關聯使用者與儲存在資料庫中的相關資訊,但SessionID可以用來臨時地標識從資料庫或檔案提取的使用者資訊。對於那些不支援Cookies的瀏覽器,可以用另外的方法來建立唯一ID,如下面的getID使用的是隨機函數:
  
  function getID() dim numbers
  dim letters
  dim I
  dim ID
  Randomize
  numbers="0123456789"
  letters = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"
  for I = 1 to 10
  if I mod 2 <> 0 then
  ID = ID & mid(letters, Int((26 * Rnd) + 1),1)
  else
  ID = ID & mid(numbers, Int((10 * Rnd) + 1),1)
  end if
  next
  getID = ID
  end function

相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。