帖)Asp.Net Forms驗證(自訂、角色提供者)

以前開發項目時經常是自己開發一套使用者權限管理系統進行驗證，比較靈活。最近為了單點登入的問題又把Asp.Net內建的驗證方式看了一遍，發現這種方式也比較方便，功能也還可以。在Asp.Net提供了三種常用的驗證方式：Windows方式是和IIS結合起來可以實現基本、摘要、整合 Windows等身分識別驗證；Passport方式是使用Windows Live ID的帳戶來進行統一驗證的；Forms方式是使用常見的表單來實現驗證。

本文主要就是討論Forms驗證方式普通實現、自訂實現、自訂角色提供者、如何單點登入(可和MOSS結合)等幾個方面。

一、普通實現方式
這種方式是最簡單的，只需要配置一下就可以了。
1、執行aspnet_regsql命令建立資料庫
aspnet_regsql命令在C:/WINDOWS/Microsoft.NET/Framework/v2.0.50727目錄下，按提示運行就可以了

2、建立一個web網站
在Web.Config中加入配置：

enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="true"
requiresUniqueEmail="true" passwordFormat="Hashed" name="SqlProvider"
type="System.Web.Security.SqlMembershipProvider" />

主要就是指定Forms驗證使用的資料庫，如果不指定資料庫會使用本機預設的aspnetdb 資料庫。
deny users="?"表示不允許匿名使用者存取，也就是說當匿名使用者存取時自動跳轉到下面配置的login.aspx頁面。
至於authorization和authentication節的其他屬性可以參考MSDN，裡面有很詳細的介紹。

3、在網站裡建立Default.aspx和Login.aspx頁面
在Login.aspx頁面裡面放入Login和CreateUserWizard控制項(因為我們建立的庫中一個使用者也沒有，CreateUserWizard控制項只是用來建立測試使用者的，建好使用者後可以把這個控制項刪除)
在Default.aspx頁面中隨便放入一些內容。
當我們訪問Default.aspx時就會自動轉入Login.aspx進行驗證了。

二、自訂實現方式
採用第一種方式時會要求建立一個資料庫，很多表，可能並不符合我們自己的業務要求。可以使用以下的自訂方式
1、利用Login控制項的Authenticate事件
這個事件就是用來進行驗證的，可以通過指定true值表示驗證通過：
protected void Login1_Authenticate(object sender, AuthenticateEventArgs e)
{
//判斷使用者名稱密碼是否正確
//
e.Authenticated = true;
}2、完全拋開Login等控制項，自己寫代碼
其實Login控制項的核心主要也就是往Cookie裡面放入一些值，那麼我們可以在自己的代碼中來進行這個操作：
protected void Button1_Click(object sender, EventArgs e)
{
//判斷使用者名稱密碼是否正確
//.
FormsAuthentication.SetAuthCookie(userName, false);
if (Context.Request["ReturnUrl"] != null)
{
Response.Redirect(Context.Request["ReturnUrl"]);
}
else
{
Response.Redirect(FormsAuthentication.DefaultUrl);
}
}採用以上兩種方式就不用建立預設的資料庫了，直接使用我們的邏輯進行驗證操作

三、自訂角色提供者
以上說的都是使用者層級的驗證，在有的情況下需要根據角色來進行驗證，比如指定某個目錄或某個aspx檔案只能讓哪幾個角色的使用者訪問，根據角色來控制的話比較方便靈活。
1、在登入驗證的時候把角色資訊也儲存到Cookie中去：
protected void Button1_Click(object sender, EventArgs e)
{
//判斷使用者名稱密碼是否正確
//.

//得到使用者的角色，測試時暫時寫死
string userRoles = "Admins,testst";
FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, user, DateTime.Now, DateTime.Now.AddMinutes(30), false, userRoles, "/");
string HashTicket = FormsAuthentication.Encrypt(Ticket);

//把角色資訊儲存到Cookie中去
HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);
Response.Cookies.Add(UserCookie);

if (Context.Request["ReturnUrl"] != null)
{
Response.Redirect(Context.Request["ReturnUrl"]);
}
else
{
Response.Redirect(FormsAuthentication.DefaultUrl);
}
}把角色資訊加密成特定的格式儲存。
2、自訂角色提供者
如果要按照角色進行驗證的話，肯定要涉及到角色提供者，在預設情況下也是會去串連預設的資料庫的，我們可以自己寫一個角色提供者來實現自己的邏輯。
首先在web.config中加入配置：
Code
enabled="true"
cacheRolesInCookie="true"
cookieName=".ASPROLES"
cookieTimeout="30"
cookiePath="/"
cookieRequireSSL="false"
cookieSlidingExpiration="true"
cookieProtection="All" >
type="MyRoleProvider"
writeExceptionsToEventLog="false" />
這個就是指定我們的角色提供類MyRoleProvider。
這個類必須從System.Web.Security.RoleProvider繼承，只要重載實現一個方法就可以了(其他方法返回異常)：
public override string[] GetRolesForUser(string username)
{
FormsIdentity Id = HttpContext.Current.User.Identity as FormsIdentity;
if (Id != null)
{
return Id.Ticket.UserData.Split(new Char[] { ',' });
}
return null;
}也就是從我們之前儲存到Cookie中的值取得使用者角色(FormsAuthentication會自動把儲存的cookie轉化成User內的值)

之後我們就可以在web.config中配置角色驗證規則了：







或者也可以在代碼中判斷：
bool a = User.IsInRole("testt"); 判斷起來還是很方便的。