窗體驗(yàn)證是asp.net最酷的新特性之一。簡(jiǎn)單說(shuō)���,窗體驗(yàn)證是一種安全機(jī)制����,它通過(guò)要求用戶(hù)在web窗體中輸入憑據(jù)(通常是用戶(hù)名和密碼)來(lái)驗(yàn)證用戶(hù)身份���。您可以在web.config中指定登錄頁(yè)面并告訴asp.net登錄頁(yè)面保護(hù)什么資源�。當(dāng)用戶(hù)第一次試圖訪(fǎng)問(wèn)被保護(hù)資源時(shí)�����,asp.net會(huì)把用戶(hù)重新定向到您的登錄頁(yè)面��。如果登陸成功�����,asp.net會(huì)以cookie的形式發(fā)給用戶(hù)一個(gè)驗(yàn)證票據(jù)���,并把用戶(hù)重定向到最初請(qǐng)求的頁(yè)面����。這張票據(jù)使得用戶(hù)不必重復(fù)登錄���,就可以多次訪(fǎng)問(wèn)您站點(diǎn)上的被保護(hù)內(nèi)容����。您控制這張票據(jù)的生存期�,所以由您決定登錄適用于多長(zhǎng)時(shí)間。
上面這段話(huà)明白嗎����?我們可以想以前asp的時(shí)候,要保護(hù)的頁(yè)面都會(huì)有對(duì)cookie(或session)的判斷�,根據(jù)cookie的值來(lái)判斷用戶(hù)是否有訪(fǎng)問(wèn)這個(gè)頁(yè)的權(quán)力���。而具體做的時(shí)候,都是先要求用戶(hù)登陸���,成功后就把用戶(hù)信息保存在cookie里面����,然后用戶(hù)就可以訪(fǎng)問(wèn)受保護(hù)的頁(yè)���。而現(xiàn)在asp.net提供了一種更加方便的功能來(lái)替你完成這些工作�,就是上面說(shuō)的Forms驗(yàn)證�。就像分頁(yè),以前asp不也替你完成了嘛�����,可是到了asp.net這里���,就得自己動(dòng)手了……
過(guò)程是先建一個(gè)文件夾���,然后把要保護(hù)的頁(yè)面放進(jìn)去,接著設(shè)置一下web,config,這樣就完成了保護(hù)���。如果你要訪(fǎng)問(wèn)這個(gè)文件夾����,就會(huì)被強(qiáng)制轉(zhuǎn)到預(yù)先設(shè)定的登錄頁(yè)面����,你填上正確的用戶(hù)名和密碼��,提交�����,系統(tǒng)驗(yàn)證后��,就把你的登陸信息寫(xiě)到cookie里面��,這樣你再去訪(fǎng)問(wèn)那個(gè)文件夾�,就可以進(jìn)去了,因?yàn)槟愕牡顷憫{證已經(jīng)保存到cookie里面了�����,系統(tǒng)檢查后���,知道你不是壞人��,于是就……這個(gè)過(guò)程還是和以前asp時(shí)的過(guò)程差不多�。
下面是具體的操作,先要建一個(gè)asp.net應(yīng)用程序��,這里面至少要有一個(gè)登錄用的頁(yè)面����,然后修改你的根目錄下的web.config,把驗(yàn)證那一塊改成Forms驗(yàn)證模式����。
[Copy to clipboard] [ - ]
CODE:
<authentication mode="Forms" >
<forms loginUrl="login.aspx">
</forms>
</authentication>
注意里面有一個(gè)forms節(jié),定義了登錄頁(yè)面的位置����,如果不指定,則默認(rèn)是根目錄下的login.aspx��,還有���,里面是區(qū)分大小寫(xiě)的�����。
通過(guò)這個(gè)設(shè)置�����,系統(tǒng)就知道這個(gè)asp.net應(yīng)用程序使用Forms驗(yàn)證�����。
接下來(lái)在要保護(hù)的文件夾里放一個(gè)web.config�����,要注意的是��,這個(gè)子文件夾里的web.config的實(shí)際內(nèi)容不能像根目錄下的那個(gè)一樣多��,否則就會(huì)出現(xiàn)“配置錯(cuò)誤”����,提示“在應(yīng)用程序級(jí)別以外使用注冊(cè)為 allowDefinition='MachineToApplication' 的節(jié)是錯(cuò)誤的����。導(dǎo)致該錯(cuò)誤的原因可能是在 IIS 中沒(méi)有將虛擬目錄作為應(yīng)用程序進(jìn)行配置。”具體應(yīng)該怎么做我也不清楚,總之這個(gè)web.config只要有下面的內(nèi)容就ok了
[Copy to clipboard] [ - ]
CODE:
<configuration>
<system.web>
<authorization>
<deny users="?"></deny>
</authorization>
</system.web>
</configuration>
這是一個(gè)授權(quán)節(jié)���,此節(jié)設(shè)置應(yīng)用程序的授權(quán)策略���。可以允許(allow)或拒絕(deny)不同的用戶(hù)或角色訪(fǎng)問(wèn)應(yīng)用程序資源�����。通配符: "*" 表示任何人�,"?" 表示匿名(未經(jīng)身份驗(yàn)證的)用戶(hù)??次覀兩厦娴脑O(shè)置知道,這樣配置就是拒絕未經(jīng)身份驗(yàn)證的用戶(hù)訪(fǎng)問(wèn)�����。
然后可以試試訪(fǎng)問(wèn)那個(gè)受保護(hù)的文件夾里的頁(yè)面了���,嘿嘿���,是不是立刻就被轉(zhuǎn)到login.aspx了?這就是Forms驗(yàn)證的威力了�,你必須要在這里正確登陸����,然后才可以訪(fǎng)問(wèn)受保護(hù)的資源���。
接下來(lái)自然就是登陸的問(wèn)題了�。
想想在asp的時(shí)代��,我們的登陸事件是這樣的:
[Copy to clipboard] [ - ]
CODE:
sql="select name,password from yourtable where name="&name&" password="&password
set rs=con.execute(sql)
if not rs.eof
cookie("login")="ok"
end if
上面是基本的過(guò)程了���,注意這個(gè)做法是極不安全的���,這里只是一個(gè)示例���,而在Forms驗(yàn)證時(shí)的過(guò)程也差不多�����,即
if(1.輸入的用戶(hù)名和密碼合法) then
2.給用戶(hù)設(shè)定登陸憑證
end if
先看第一步�����,怎樣檢查輸入的用戶(hù)名和密碼合法�,這里有兩個(gè)辦法,如果你是把用戶(hù)名和密碼存在數(shù)據(jù)庫(kù)里面��,那就用以前的辦法來(lái)解決�,比如是islogin(string name,string password)方法,如果你輸入正確的用戶(hù)名和密碼的話(huà)�,這個(gè)方法就返回true。這個(gè)辦法適用于很多用戶(hù)的時(shí)候���。 如果你的用戶(hù)數(shù)量很少��,那就可以考慮第二種辦法����,即把用戶(hù)和密碼放到web.config里�。辦法就是在根目錄下的web.config文件中加入一個(gè)credentials節(jié),這個(gè)是包含在forms節(jié)里面的
[Copy to clipboard] [ - ]
CODE:
<authentication mode="Forms" >
<forms loginUrl="login.aspx">
<credentials passwordFormat="Clear">
<user name="notus" password="wei"/>
</credentials>
</forms>
</authentication>
在這里設(shè)置后����,程序中的判斷是用System.Web.Security的FormsAuthentication類(lèi)的一個(gè)方法System.Web.Security.FormsAuthentication.Authenticate(string name,string password),這個(gè)就是用來(lái)根據(jù)web.config文件中的credentials節(jié)指定的用戶(hù)名和密碼來(lái)進(jìn)行合法性判斷���,如果你輸入正確的話(huà)�����,這個(gè)方法就返回true��。
驗(yàn)證完后����,就進(jìn)入第二個(gè)步驟給用戶(hù)設(shè)定登陸憑證,這里也是用到System.Web.Security的FormsAuthentication類(lèi)的一個(gè)方法
System.Web.Security.FormsAuthentication.RedirectFromLoginPage(string,bool)這個(gè)方法接受兩個(gè)參數(shù)���,第一個(gè)string是用語(yǔ)cookie身份驗(yàn)證的用戶(hù)名稱(chēng)���,一般就用用戶(hù)名,第二個(gè)是bool值�����,用于指定此cookie是臨時(shí)的��,還是永久性的���,如果這里用false,那就是臨時(shí)性的��。臨時(shí)性的cookie的生存期可以在web.config的forms節(jié)中指定
<forms loginUrl="login.aspx" timeout="10">
這里是把超時(shí)時(shí)間設(shè)為10分鐘���。而永久性cookie的生存期是50年�,并且設(shè)定后就不可以更改,一般如果選擇永久性的cookie的話(huà)�,可以通過(guò)編程的辦法來(lái)改變這個(gè)值,畢竟50年實(shí)在是太長(zhǎng)了���。
這個(gè)方法除了設(shè)定用戶(hù)登陸憑證外�,在最后還會(huì)把用戶(hù)重定向到最初請(qǐng)求的頁(yè)面�����,即當(dāng)你沒(méi)有登錄而直接進(jìn)入受保護(hù)的文件夾時(shí)想去的那個(gè)頁(yè)面�����。如一開(kāi)始直接進(jìn)入登錄頁(yè)面�����,則最后會(huì)轉(zhuǎn)向根目錄下的default.aspx���。
下面是具體的代碼演示��,這段代碼是單擊登陸頁(yè)面的提交按鈕后執(zhí)行的��,boxid和boxpd分別是輸入用戶(hù)名和密碼的textbox
[Copy to clipboard] [ - ]
CODE:
第一種����,用戶(hù)資料保存于數(shù)據(jù)庫(kù)時(shí)
private void butlogin_Click(object sender, System.EventArgs e)
{
if(islogin(boxid.Text,boxpd.Text))
FormsAuthentication.RedirectFromLoginPage(boxid.Text,false);
else
Response.Write("error");
}
第二種,用戶(hù)資料保存于web.config時(shí)
private void butlogin_Click(object sender, System.EventArgs e)
{
if(FormsAuthentication.Authenticate(boxid.Text,boxpd.Text))
FormsAuthentication.RedirectFromLoginPage(boxid.Text,false);
else
Response.Write("error");
}
這就是驗(yàn)證的基本過(guò)程���。
而如果想要注銷(xiāo)登陸����,則用System.Web.Security的FormsAuthentication類(lèi)的SignOut()方法
[Copy to clipboard] [ - ]
CODE:
private void butquit_Click(object sender, System.EventArgs e)
{
FormsAuthentication.SignOut();
}
它返回一個(gè)Set-Cookie頭����,將Cookie的值設(shè)置為一個(gè)空字符串,并將Cookie的到器日期設(shè)置為一個(gè)過(guò)去的日期���,從而有效銷(xiāo)毀驗(yàn)證cookie�����。
而在實(shí)際情況下��,您可能更愿意在頂層web.config文件中完成所有的url授權(quán),而不是把它們分在各自目錄下的web,config文件中����。asp.net也支持這種做法�。下面這個(gè)web,config文件�,放在應(yīng)用程序根目錄下,它啟用窗體驗(yàn)證并指定其他的一些設(shè)置��。假設(shè)您要保護(hù)的文件夾名為protd�。
[Copy to clipboard] [ - ]
CODE:
<configuration>
<system.web>
<authentication mode="Forms" >
<forms loginUrl="login.aspx">
<credentials passwordFormat="Clear">
<user name="notus" password="wei"/>
</credentials>
</forms>
</authentication>
</system.web>
<location path="protd">
<system.web>
<authorization>
<deny users="?"></deny>
</authorization>
</system.web>
</location>
</configuration>
注意它的層次結(jié)構(gòu),應(yīng)該有兩個(gè)<system.web>節(jié)���。完成這個(gè)后��,就可以把protd文件夾下的那個(gè)web.config刪掉�����,然后看看效果如何���。
基本的知識(shí)就這么多了,其實(shí)Forms驗(yàn)證還有很多內(nèi)容��,比如怎樣以編程的方式改變永久性cookie的生存期����,怎么使用基于角色的驗(yàn)證等��,這些大家找相關(guān)資料研究研究吧����。當(dāng)然還是推薦上面說(shuō)到的那本書(shū)�����,以前關(guān)于Forms驗(yàn)證的也看了不少資料����,但總是不明白,結(jié)果昨天一看那本書(shū)的講解��,就豁然開(kāi)朗了�。
最后再給出我常用的一個(gè)islogin()代碼。希望可以對(duì)初學(xué)者有些幫助��。
[Copy to clipboard] [ - ]
CODE:
public bool islogin(string name,string password)
{
bool isok=false;
string errmsg="ok";
StringBuilder sbsel=new StringBuilder();
sbsel.Append("select name,password from youtable where name='");
sbsel.Append(name);
sbsel.Append("'");
try
{
cmd=new OleDbCommand(sbsel.ToString(),conn);
conn.Open();
OleDbDataReader dr=cmd.ExecuteReader(CommandBehavior.SingleRow);
if(dr.Read())
{
if(dr["password"].ToString()==password)
isok=true;
}
errmsg="login is ok";
}
catch(OleDbException ex)
{
errmsg=ex.Message;
}
finally
{
conn.Close();
}
return isok;
