asp.net中使用基於角色role的Forms驗證

asp.net中使用基於角色role的Forms驗證，大致經過幾下四步：
1.配置系統web.config

<system.web> 
<authentication mode="Forms" > 
 <forms name=".yaoCookies" loginUrl="/duan/Manage/login.aspx" protection="All"
  timeout="20" path="/" />
 </authentication>
</system.web>

其中<authentication mode= "forms"> 表示本應用程式採用Forms驗證方式。
1). <forms>標籤中的name表示指定要用於身分識別驗證的 HTTP Cookie。預設情況下，name 的值是 .ASPXAUTH。採用此種方式驗證使用者後,以此使用者的資訊建立一個FormsAuthenticationTicket類型的身分識別驗證票,再加密序列化為一個字串,最後將這個字串寫到用戶端的name指定名字的Cookie中.一旦這個Cookie寫到用戶端後,此使用者再次訪問這個web應用時會將連同Cookie一起發送到服務端,服務端將會知道此使用者是已經驗證過的.

2). <forms>標籤中的loginUrl指定如果沒有找到任何有效身分識別驗證 Cookie，為登入將請求重新導向到的 URL。預設值為 default.aspx。loginUrl指定的頁面就是用來驗證使用者身份的,一般此頁面提供使用者輸入使用者名稱和密碼,使用者提交後由程式來根據自己的需要來驗證使用者的合法性(大多情況是將使用者輸入資訊同資料庫中的使用者表進行比較),如果驗證使用者有效,則產生同此使用者對應的身分識別驗證票,寫到用戶端的Cookie,最後將瀏覽器重新導向到使用者初試請求的頁面.一般是用FormsAuthentication.RedirectFromLoginPage 方法來完成組建身分識別驗證票,寫回用戶端,瀏覽器重新導向等一系列的動作.

public static void RedirectFromLoginPage( string userName, bool createPersistentCookie, string strCookiePath );

其中:
userName： 就是此使用者的標示,用來標誌此使用者的唯一標示,不一定要映射到使用者賬戶名稱.
createPersistentCookie： 標示是否發出持久的 Cookie。
若不是持久Cookie，Cookie的有效期間Expiration屬性有目前時間加上web.config中timeout的時間，每次請求頁面時，在驗證身份過程中，會判斷是否過了有效期間的一半，要是的話更新一次cookie的有效期間；若是持久cookie，Expiration屬性無意義，這時身分識別驗證票的有效期間有cookie的Expires決定，RedirectFromLoginPage方法給Expires屬性設定的是50年有效期間。
strCookiePath： 標示將產生的Cookie的寫到用戶端的路徑，身分識別驗證票中儲存這個路徑是在重新整理身分識別驗證票Cookie時使用（這也是產生Cookie的Path），若沒有strCookiePath 參數，則使用web.config中 path屬性的設定。

這裡可以看到,此方法參數只有三個,而身分識別驗證票的屬性有七個,不足的四個參數是這麼來的:
IssueDate：Cookie發出時間由目前時間得出,
Expiration：到期時間由目前時間和<forms>標籤中的timeout參數算出。此參數對非持久性cookie有意義。
UserData：這個屬性可以用應用程式寫入一些使用者定義的資料,此方法沒有用到這個屬性,只是簡單的將此屬性置為空白字串,請注意此屬性,在後面我們將要使用到這個屬性。
Version： 版本號碼由系統自動提供。

RedirectFromLoginPage方法產生產生身分識別驗證票後，會調用FormsAuthentication.Encrypt 方法，將身分識別驗證票加密為字串，這個字串將會是以.ASPXAUTH為名字的一個Cookie的值。
這個Cookie的其它屬性的產生：
Domain，Path屬性為確省值，Expires視createPersistentCookie參數而定，若是持久cookie，Expires設為50年以後到期；若是非持久cookie，Expires屬性不設定。
產生身分識別驗證Cookie後，將此Cookie加入到Response.Cookies中，等待發送到用戶端。
最後RedirectFromLoginPage方法調用FormsAuthentication.GetRedirectUrl 方法擷取到使用者原先請求的頁面，重新導向到這個頁面。

3). <forms>標籤中的timeout和path,是提供了身分識別驗證票寫入到Cookie到期時間和預設路徑。

以上就是基於Forms身分識別驗證的過程，它完成了對使用者身份的確認。

2.在受保護的檔案夾如Manage下建立一web.config檔案,內容如

<configuration>
  <!--指定對整個Manage目錄的存取權限-->
  <system.web>
     <authorization>
           <!--多個角色用,分隔-->
           <allow roles="admin,user"/>
           <deny users="*" />
       </authorization>
  </system.web>

  <!--也可控制某個頁的許可權

  <location path="AnnounceList.aspx">
     <system.web>
        <authorization>
           <allow roles="admin"/>
           <deny users="*" />
        </authorization>
     </system.web>
  </location>

  <location path="ConfigInfo.aspx">
     <system.web>
        <authorization>
           <allow roles="users"/>
           <deny users="*" />
        </authorization>
     </system.web>
  </location>

  -->
</configuration>

註：此配置內容也可以加入到系統的web.config檔案中，注意加入位置：

........
    </system.web>

    <location path="Manage/AnnounceList.aspx">
     <system.web>
      <authorization>
       <allow roles="admin"/>
       <deny users="*" />
      </authorization>
     </system.web>
    </location>

</configuration>

<allow>標籤表示允許訪問，其中的屬性
1). users：一個逗號分隔的使用者名稱列表，這些使用者名稱已被授予對資源的存取權限。問號 (?) 允許匿名使用者；星號 (*) 允許所有使用者。
2). roles：一個逗號分隔的角色列表，這些角色已被授予對資源的存取權限。
3). verbs：一個逗號分隔的 HTTP 傳輸方法列表，這些 HTTP 傳輸方法已被授予對資源的存取權限。註冊到 ASP.NET 的謂詞為 GET、HEAD、POST 和 DEBUG。

<deny>標籤表示不允許訪問。其中的屬性同上面的。

在運行時，授權模組迭代通過 <allow> 和 <deny> 標記，直到它找到適合特定使用者的第一個訪問規則。然後，它根據找到的第一項訪問規則是 <allow> 還是 <deny> 規則來允許或拒絕對 URL 資源的訪問。Machine.config 檔案中的預設身分識別驗證規則是 <allow users="*"/>，因此除非另行配置，否則在預設情況下會允許訪問。

那麼這些user 和roles又是如何得到的呢？下面看一下授權的詳細過程：

1). 一旦一個使用者訪問這個網站，就行登入確認了身份，身分識別驗證票的cookie也寫到了用戶端。之後，這個使用者再次申請這個web的頁面，身分識別驗證票的cookie就會發送到服務端。在服務端，asp.net為每一個http請求都分配一個HttpApplication對象來處理這個請求，在HttpApplication.AuthenticateRequest事件後，安全模組已建立使用者標識，就是此使用者的身份在web端已經建立起來，這個身份完全是由用戶端發送回來的身分識別驗證票的cookie建立的。
2). 使用者身份在HttpContext.User 屬性中，在頁面中可以通過Page.Context 來擷取同這個頁面相關的HttpContext對象。對於Forms驗證，HttpContext.User屬性是一個GenericPrincipal類型的對象，GenericPrincipal只有一個公開的屬性Identity，有個私人的m_role屬性，是string[]類型，存放此使用者是屬於哪些role的數組，還有一個公開的方法IsInRole(string role)，來判斷此使用者是否屬於某個角色。
由於身分識別驗證票的cookie中根本沒有提供role這個屬性，就是說Forms身分識別驗證票沒有提供此使用者的role資訊，所以，對於Forms驗證，在服務端得到的GenericPrincipal 使用者物件的m_role屬性永遠是空的。
3). GenericPrincipal. Identity 屬性是一個FormsIdentity類型的對象，這個對象有個Name屬性，就是此使用者的標示，訪問授權就是將此屬性做為user來進行授權驗證的。FormsIdentity還有一個屬性，就是Ticket屬性，此屬性是身分識別驗證票FormsAuthenticationTicket類型，就是之前伺服器寫到用戶端的身分識別驗證票。
伺服器在擷取到身分識別驗證票FormsAuthenticationTicket對象後，查看這個身分識別驗證票是不是非持久的身分識別驗證，是的話要根據web.config中timeout屬性設定的有效期間來更新這個身分識別驗證票的cookie（為避免危及效能，在經過了超過一半的指定時間後更新該 Cookie。這可能導致精確性上的損失。持久性 Cookie 不逾時。）
4). 在HttpApplication.ResolveRequestCache事件之前，asp.net開始取得使用者請求的頁面，建立HttpHandler控制點。這就意味著，在HttpApplication.ResolveRequestCache事件要對使用者存取權限就行驗證，看此使用者或角色是否有許可權訪問這個頁面，之後在這個請求的生命週期內再改變此使用者的身份或角色就沒有意義了。

以上是Forms驗證的全過程，可以看出，這個Forms驗證是基於使用者的，沒有為角色的驗證提供直接支援。身分識別驗證票FormsAuthenticationTicket 中的Name屬性是使用者標示，其實還有一個屬性UserData，這個屬性可以由應用程式來寫入自訂的一些資料，我們可以利用這個欄位來存放role的資訊，從而達到基於角色驗證的目的。

3.登入頁

//登入按鈕
private void Button1_Click(object sender, System.EventArgs e)
{
            //實體類AdminUserVO對應AdminUser使用者表。
            AdminUserVO adminUserVO = new AdminUserVO();

            adminUserVO.Uname = UserName.Text.Trim();
            adminUserVO.Upwd = UserPwd.Text.Trim();
            adminUserVO.LastIP = HttpContext.Current.Request.UserHostAddress;
            adminUserVO.LastTime = DateTime.Now;

            bool flag = (new LoginDAO()).Chk(adminUserVO);

            if (flag)
            {
                //非角色驗證時可以用這句:
                //System.Web.Security.FormsAuthentication.SetAuthCookie(UserName.Text.Trim(),false);

                //建立角色驗證資訊,把role資訊寫入到UserData中
                SetLoginCookie(adminUserVO,adminUserVO.Roles.ToLower());

                HttpContext.Current.Response.Redirect("Main.aspx");
            }
            else
            {
                HttpContext.Current.Response.Write("登入失敗");
            }
}

 

//SetLoginCookie方法
public static void SetLoginCookie(AdminUserVO u, string roles)
  {
   //建立身分識別驗證票對象
   FormsAuthenticationTicket ticket = new FormsAuthenticationTicket (1,u.Uname, DateTime.Now, DateTime.Now.AddMinutes(30), false,roles,"/");
   //加密序列化驗證票為字串
   string hashTicket = FormsAuthentication.Encrypt (ticket) ;
   HttpCookie userCookie = new HttpCookie(FormsAuthentication.FormsCookieName, hashTicket);
   HttpContext.Current.Response.Cookies.Add(userCookie);
  }

FormsAuthenticationTicket參數說明：
FormsAuthenticationTicket(
int version, //設為1,版本號碼由系統自動提供
string name, //使用者標示,擷取與身分識別驗證 Cookie 關聯的使用者名稱
DateTime issueDate, //Cookie 的發出時間, 設定為 DateTime.Now
DateTime expiration, //擷取 Cookie 到期的日期/時間
bool isPersistent, //是否持久性(根據需要設定,若是設定為持久性,在發出cookie時,cookie的Expires設定一定要設定),如果已發出持久的 Cookie，則返回 true。否則，身分識別驗證 Cookie 將限制在瀏覽器生命週期範圍內。
string userData, //擷取儲存在 Cookie 中的應用程式定義字串,這裡用上面準備好的用逗號分割的role字串
string cookiePath // 返回傳出 Cookie 的路徑。注意，表單的路徑設定為"/",這要同發出cookie的路徑一致,因為重新整理cookie要用這個路徑。由於表單區分大小寫，這是為了防止網站中的 URL 的大小寫不一致而採取的一種保護措施。
);

4.Global.asax.cs

protected void Application_AuthenticateRequest(Object sender, EventArgs e)
  {
   HttpApplication app = (HttpApplication) sender;  
   HttpContext ctx = app.Context ; //擷取本次Http請求的HttpContext對象  
   if (ctx.User != null)
   {
    if (ctx.Request.IsAuthenticated == true) //驗證過的一般使用者才能進行角色驗證  
    {  
     System.Web.Security.FormsIdentity fi = (System.Web.Security.FormsIdentity)ctx.User.Identity ;  
     System.Web.Security.FormsAuthenticationTicket ticket = fi.Ticket ; //取得身分識別驗證票  
     string userData = ticket.UserData;//從UserData中恢複role資訊
     string[] roles = userData.Split (',') ; //將角色資料轉成字串數組,得到相關的角色資訊  
     ctx.User = new System.Security.Principal.GenericPrincipal (fi, roles) ; //這樣目前使用者就擁有角色資訊了
    } 
   }
  }

注:如果使用HttpModule的話,此處代碼應該加入在AuthenticateRequest事件中。