简单的ASP.NET Forms身份认证

读了几篇牛人的此方面的文章,自己也动手做了一下,就想有必要总结一下。当然我的文章质量自然不能与人家相比,只是写给从没有接触过这个知识点的朋友。

网站的身份认证我以前只知道session,偶然发现一些牛人提倡用Forms方式,微软官方也推荐这种方法。详见使用Session作为身份识别的问题

ASP.NET的身份认证方式是在web.config文件中configuration->system.web->authentication指定,如

[html] view plain copy

print?

  1. <authentication mode="Forms" >
  2. <forms cookieless="UseCookies"name="LoginCookieName"loginUrl="~/Default.aspx"></forms>
  3. </authentication>

mode="Forms"表示的即时Form身份认证方式。另外还有none、passport、windows可选,其他两个尚不知,windows的方式和SQL server的Management Stdio 的windows身份验证是一个道理。当网站的IP是localhost的时候,网站不用登录即时登录状态,而只有是其他IP的时候,登录网站才需要输入本机的用户名,密码。而本文要说的就是Forms身份验证。

程序分为三步:在login.aspx页面登录写入cookie;用户访问default.aspx程序读出cookie数据并赋予用户对应的角色;程序查看Global.asax看用户是否有权限访问该页面。

1.在登录页面验证完身份信息后的处理

[csharp] view plain copy

print?

  1. var ticket = new FormsAuthenticationTicket(
  2. 1, name, DateTime.Now, DateTime.Now.AddMinutes(5),true, "admin");//构造用户票据
  3. string cookieValue =FormsAuthentication.Encrypt(ticket);
  4. HttpCookie cookie =new HttpCookie(FormsAuthentication.FormsCookieName, cookieValue);
  5. Response.Cookies.Remove(cookie.Name);
  6. Response.Cookies.Add(cookie);

FormsAuthenticationTicket的构造参数说明:版本号、票据名、构造时间、过期时间、是否持久化(如果为true表示票据存储在持久性cookie中,即跨浏览器会话),用户自定义数据(这里存放的是登录用户角色列表,用“,”分隔)。

然后将票据加密存进cookie

这是FF中的web developer看到的,value是加密后的结果。Path是指针网站下对某目录或页面,”/“则表示针对整个网站。HttpOnly如果为true则表示脚本程序不能访问,这样能防止一些XSS攻击利用Httponly提升web应用程序安全性

2.在Global.asax中添加的内容

[csharp] view plain copy

print?

  1. void Application_PostAuthenticateRequest(Object sender, EventArgs e)
  2. {
  3. HttpApplication App =(HttpApplication)sender;
  4. HttpContext context = App.Context; //获取本次Http请求相关的HttpContext对象
  5. if (context.Request.IsAuthenticated) //验证过的用户才进行role的处理
  6. {
  7. FormsIdentity Id =context.User.Identity as FormsIdentity;
  8. FormsAuthenticationTicket Ticket =Id.Ticket; //取得身份验证票
  9. string[] Roles =Ticket.UserData.Split(‘,‘); //将身份验证票中的role数据即前面存储在cookie的自定义用户数据转成字符串数组
  10. context.User = new GenericPrincipal(Id, Roles); //将原有的Identity加上角色信息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息
  11. }
  12. }

Application_PostAuthenticateRequest是asp.Net管线中的一个事件,在页面请求的时候会触发。有关详细知识还有待学习。

这一步也可以自己定义一个实现IHttpModule接口的类,在其中这样写:

[csharp] view plain copy

print?

  1. public void Init(HttpApplicationapp)
  2. {
  3. app.PostAuthenticateRequest +=Application_PostAuthenticateRequest;
  4. }
  5. voidApplication_PostAuthenticateRequest(Object sender, EventArgs e)
  6. {
  7. //……
  8. }

用户在经过第一步的登录后已在浏览器上存储了cookie,再次请求另一个页面时,经过Global.asax中的Application_PostAuthenticateRequest处理,在context.User中存放了角色信息。这里我们构造context.User里有一个私有的user字段,这个字段只能利用IsInRole方法来判断用户是否属于某,我们不能对它修改,而且这个字段每次初始化的时候总是为空,我们只好利用这种方式来为用户附上角色信息。

3.配置文件中的内容 

[html] view plain copy

print?

  1. <system.web>
  2. <compilationdebugcompilationdebug="true" targetFramework="4.0"/>
  3. <httpRuntime requestValidationMode="2.0"/>
  4. <!--我在WebSite的App_Code文件夹下创建了Module文件夹,并添加了MyModule类-->
  5. <httpModules>
  6. <addnameaddname="MyModule"type="MyModule"/>
  7. </httpModules>
  8. <authentication mode="Forms">
  9. <!--name是存放cookie信息的用户名,loginUrl是指定的登录页面(当用户没权限访问下面location限制的页面时会跳转到此页面),timeout是cookie过期时间-->
  10. <forms cookieless="UseCookies" name=" logincookie" loginUrl="~/login.aspx" timeout="5"></forms>
  11. </authentication>
  12. <authorization>
  13. <allowusersallowusers="*"/>
  14. </authorization>
  15. </system.web>
  16. <!--location中的path可以是一个文件夹,也可以是一个页面,来限制某些页面的访问权限。下面表示Default.aspx只对admin角色开发。注意,如果限制某些页面只能被某些角色访问,则最后一定要加<deny users="*"/>-->
  17. <location path="Default.aspx">
  18. <system.web>
  19. <authorization>
  20. <allow roles="admin"/>
  21. <deny users="*"/>
  22. </authorization>
  23. </system.web>
  24. </location>

程序执行完第二步,到配置文件中查看角色是否有权限访问请求页面。

源代码

参考文章:细说ASP.NET Forms身份认证 asp.net中使用基于角色role的Forms验证

另外强烈推荐一个博客:http://www.cnblogs.com/fish-li/

时间: 2024-11-05 12:02:46

简单的ASP.NET Forms身份认证的相关文章

细说ASP.NET Forms身份认证

用户登录是个很常见的业务需求,在ASP.NET中,这个过程被称为身份认证. 由于很常见,因此,我认为把这块内容整理出来,与大家分享应该是件有意义的事. 在开发ASP.NET项目中,我们最常用的是Forms认证,也叫[表单认证]. 这种认证方式既可以用于局域网环境,也可用于互联网环境,因此,它有着非常广泛的使用. 这篇博客主要讨论的话题是:ASP.NET Forms 身份认证. 有一点我要申明一下:在这篇博客中,不会涉及ASP.NET的登录系列控件以及membership的相关话题, 我只想用比较

细说ASP.NET Forms身份认证 别人写的不过很透彻就转来了以后用时再看

阅读目录 开始 ASP.NET身份认证基础 ASP.NET身份认证过程 如何实现登录与注销 保护受限制的页面 登录页不能正常显示的问题 认识Forms身份认证 理解Forms身份认证 实现自定义的身份认证标识 在多台服务器之间使用Forms身份认证 在客户端程序中访问受限页面 用户登录是个很常见的业务需求,在ASP.NET中,这个过程被称为身份认证. 由于很常见,因此,我认为把这块内容整理出来,与大家分享应该是件有意义的事. 在开发ASP.NET项目中,我们最常用的是Forms认证,也叫[表单认

IE11下ASP.NET Forms身份认证无法保存Cookie的问题

IE11下ASP.NET Forms身份认证无法保存Cookie的问题 折腾了三四天,今天才找到资料,解决了. 以下会转贴,还没来得及深究,先放着,有空再学习下. ASP.NET中使用Forms身份认证常见的做法如下: 1. 网站根目录下的Web.config添加authentication节点 <authentication mode="Forms"> <forms name="MyAuth" loginUrl="manager/Log

【转】权限管理学习 一、ASP.NET FORMS身份认证

[转]权限管理学习 一.ASP.NET Forms身份认证 说明:本文示例使用的VS2017和MVC5.系统无论大小.牛逼或屌丝,一般都离不开注册.登录.那么接下来我们就来分析下用户身份认证. 简单实现登录.注销 以前在学习.net的时候不知道什么Forms身份认证,直接用session实现登录,效果也蛮好嘛.而且用户信息存在服务端,安全.前端代码: @if (string.IsNullOrWhiteSpace(ViewBag.UserName)) { <form action="/hom

权限管理学习 一、ASP.NET Forms身份认证

说明:本文示例使用的VS2017和MVC5.系统无论大小.牛逼或屌丝,一般都离不开注册.登录.那么接下来我们就来分析下用户身份认证. 简单实现登录.注销 以前在学习.net的时候不知道什么Forms身份认证,直接用session实现登录,效果也蛮好嘛.而且用户信息存在服务端,安全.前端代码: @if (string.IsNullOrWhiteSpace(ViewBag.UserName)) { <form action="/home/login1"> <input t

细说ASP.NET Windows身份认证

上篇博客我谈到了一些关于ASP.NET Forms身份认证方面的话题,这次的博客将主要介绍ASP.NET Windows身份认证. Forms身份认证虽然使用广泛,不过,如果是在 Windows Active Directory 的环境中使用ASP.NET, 那么使用Windows身份认证也会比较方便. 方便性表现为:我们不用再设计登录页面,不用编写登录验证逻辑.而且使用Windows身份认证会有更好的安全保障. 回到顶部 认识ASP.NET Windows身份认证 要使用Windows身份认证

IE11下Forms身份认证无法保存Cookie的问题

ASP.NET中使用Forms身份认证常见的做法如下: 1. 网站根目录下的Web.config添加authentication节点 <authentication mode="Forms"> <forms name="MyAuth" loginUrl="manager/Login.aspx" defaultUrl="manager/default.aspx" protection="All&quo

[转]Forms身份认证在IE11下无法保存Cookie的问题

转自:http://www.jb51.net/article/49744.htm 这篇文章主要介绍了Forms身份认证在IE11下无法保存Cookie问题的解决方法,需要的朋友可以参考下 ASP.NET中使用Forms身份认证常见的做法如下: 1. 网站根目录下的Web.config添加authentication节点 <authentication mode="Forms"> <forms name="MyAuth" loginUrl="

ASP.NET Forms 身份验证

ASP.NET Forms 身份验证 在开发过程中,我们需要做的事情包括: 1. 在 web.config 中设置 Forms 身份验证相关参数.2. 创建登录页. 登录页中的操作包括: 1. 验证用户名和密码是否正确.2. 创建身份验证票证对象.3. 将身份验证票证对象加密成字符串,写入 Cookies.4. 重定向到原始请求 URL. 1. 简单演示 web.config <?xml version="1.0"?><configuration>  <s