杨幂热舞视频,张馨予吻戏视频,美女视频吻

關(guān)于Forms驗(yàn)證 - 科比的日志 - 網(wǎng)易博客

2009.11.11

關(guān)于Forms驗(yàn)證

關(guān)于Forms驗(yàn)證的最好的教程，我覺(jué)得是microsoft press 出的黑皮書《microsoft.net 程序設(shè)計(jì)技術(shù)內(nèi)幕》里的關(guān)于這一部分的講解，此書的中文版由清華大學(xué)出版社出版。大家方便找到的話，可以看看。

窗體驗(yàn)證是asp.net最酷的新特性之一。簡(jiǎn)單說(shuō)，窗體驗(yàn)證是一種安全機(jī)制，它通過(guò)要求用戶在web窗體中輸入憑據(jù)（通常是用戶名和密碼）來(lái)驗(yàn)證用戶身份。您可以在web.config中指定登錄頁(yè)面并告訴asp.net登錄頁(yè)面保護(hù)什么資源。當(dāng)用戶第一次試圖訪問(wèn)被保護(hù)資源時(shí)，asp.net會(huì)把用戶重新定向到您的登錄頁(yè)面。如果登陸成功，asp.net會(huì)以cookie的形式發(fā)給用戶一個(gè)驗(yàn)證票據(jù)，并把用戶重定向到最初請(qǐng)求的頁(yè)面。這張票據(jù)使得用戶不必重復(fù)登錄，就可以多次訪問(wèn)您站點(diǎn)上的被保護(hù)內(nèi)容。您控制這張票據(jù)的生存期，所以由您決定登錄適用于多長(zhǎng)時(shí)間。

上面這段話明白嗎？我們可以想以前asp的時(shí)候，要保護(hù)的頁(yè)面都會(huì)有對(duì)cookie（或session）的判斷，根據(jù)cookie的值來(lái)判斷用戶是否有訪問(wèn)這個(gè)頁(yè)的權(quán)力。而具體做的時(shí)候，都是先要求用戶登陸，成功后就把用戶信息保存在cookie里面，然后用戶就可以訪問(wèn)受保護(hù)的頁(yè)。而現(xiàn)在asp.net提供了一種更加方便的功能來(lái)替你完成這些工作，就是上面說(shuō)的Forms驗(yàn)證。就像分頁(yè)，以前asp不也替你完成了嘛，可是到了asp.net這里，就得自己動(dòng)手了……

過(guò)程是先建一個(gè)文件夾，然后把要保護(hù)的頁(yè)面放進(jìn)去，接著設(shè)置一下web,config，這樣就完成了保護(hù)。如果你要訪問(wèn)這個(gè)文件夾，就會(huì)被強(qiáng)制轉(zhuǎn)到預(yù)先設(shè)定的登錄頁(yè)面，你填上正確的用戶名和密碼，提交，系統(tǒng)驗(yàn)證后，就把你的登陸信息寫到cookie里面，這樣你再去訪問(wèn)那個(gè)文件夾，就可以進(jìn)去了，因?yàn)槟愕牡顷憫{證已經(jīng)保存到cookie里面了，系統(tǒng)檢查后，知道你不是壞人，于是就……這個(gè)過(guò)程還是和以前asp時(shí)的過(guò)程差不多。

下面是具體的操作，先要建一個(gè)asp.net應(yīng)用程序，這里面至少要有一個(gè)登錄用的頁(yè)面，然后修改你的根目錄下的web.config，把驗(yàn)證那一塊改成Forms驗(yàn)證模式。

[Copy to clipboard] [ - ]

CODE:

</forms>

</authentication>

注意里面有一個(gè)forms節(jié)，定義了登錄頁(yè)面的位置，如果不指定，則默認(rèn)是根目錄下的login.aspx，還有，里面是區(qū)分大小寫的。

通過(guò)這個(gè)設(shè)置，系統(tǒng)就知道這個(gè)asp.net應(yīng)用程序使用Forms驗(yàn)證。

接下來(lái)在要保護(hù)的文件夾里放一個(gè)web.config，要注意的是，這個(gè)子文件夾里的web.config的實(shí)際內(nèi)容不能像根目錄下的那個(gè)一樣多，否則就會(huì)出現(xiàn)“配置錯(cuò)誤”，提示“在應(yīng)用程序級(jí)別以外使用注冊(cè)為 allowDefinition='MachineToApplication' 的節(jié)是錯(cuò)誤的。導(dǎo)致該錯(cuò)誤的原因可能是在 IIS 中沒(méi)有將虛擬目錄作為應(yīng)用程序進(jìn)行配置。”具體應(yīng)該怎么做我也不清楚，總之這個(gè)web.config只要有下面的內(nèi)容就ok了

[Copy to clipboard] [ - ]

CODE:

<system.web>

</authorization>

</system.web>

</configuration>

這是一個(gè)授權(quán)節(jié)，此節(jié)設(shè)置應(yīng)用程序的授權(quán)策略?？梢栽试S（allow）或拒絕(deny)不同的用戶或角色訪問(wèn)應(yīng)用程序資源。通配符: "*" 表示任何人，"?" 表示匿名(未經(jīng)身份驗(yàn)證的)用戶。看我們上面的設(shè)置知道，這樣配置就是拒絕未經(jīng)身份驗(yàn)證的用戶訪問(wèn)。

然后可以試試訪問(wèn)那個(gè)受保護(hù)的文件夾里的頁(yè)面了，嘿嘿，是不是立刻就被轉(zhuǎn)到login.aspx了？這就是Forms驗(yàn)證的威力了，你必須要在這里正確登陸，然后才可以訪問(wèn)受保護(hù)的資源。

接下來(lái)自然就是登陸的問(wèn)題了。

想想在asp的時(shí)代，我們的登陸事件是這樣的：

[Copy to clipboard] [ - ]

CODE:

sql="select name,password from yourtable where name="&name&" password="&password

set rs=con.execute(sql)

if not rs.eof

cookie("login")="ok"

end if

上面是基本的過(guò)程了，注意這個(gè)做法是極不安全的，這里只是一個(gè)示例，而在Forms驗(yàn)證時(shí)的過(guò)程也差不多，即

if(1.輸入的用戶名和密碼合法) then

2.給用戶設(shè)定登陸憑證

end if

先看第一步，怎樣檢查輸入的用戶名和密碼合法，這里有兩個(gè)辦法，如果你是把用戶名和密碼存在數(shù)據(jù)庫(kù)里面，那就用以前的辦法來(lái)解決，比如是islogin(string name,string password)方法，如果你輸入正確的用戶名和密碼的話，這個(gè)方法就返回true。這個(gè)辦法適用于很多用戶的時(shí)候。如果你的用戶數(shù)量很少，那就可以考慮第二種辦法，即把用戶和密碼放到web.config里。辦法就是在根目錄下的web.config文件中加入一個(gè)credentials節(jié)，這個(gè)是包含在forms節(jié)里面的

[Copy to clipboard] [ - ]

CODE:

</credentials>

</forms>

</authentication>

在這里設(shè)置后，程序中的判斷是用System.Web.Security的FormsAuthentication類的一個(gè)方法System.Web.Security.FormsAuthentication.Authenticate(string name,string password)，這個(gè)就是用來(lái)根據(jù)web.config文件中的credentials節(jié)指定的用戶名和密碼來(lái)進(jìn)行合法性判斷，如果你輸入正確的話，這個(gè)方法就返回true。

驗(yàn)證完后，就進(jìn)入第二個(gè)步驟給用戶設(shè)定登陸憑證，這里也是用到System.Web.Security的FormsAuthentication類的一個(gè)方法

System.Web.Security.FormsAuthentication.RedirectFromLoginPage(string,bool)這個(gè)方法接受兩個(gè)參數(shù)，第一個(gè)string是用語(yǔ)cookie身份驗(yàn)證的用戶名稱，一般就用用戶名，第二個(gè)是bool值，用于指定此cookie是臨時(shí)的，還是永久性的，如果這里用false，那就是臨時(shí)性的。臨時(shí)性的cookie的生存期可以在web.config的forms節(jié)中指定

這里是把超時(shí)時(shí)間設(shè)為10分鐘。而永久性cookie的生存期是50年，并且設(shè)定后就不可以更改，一般如果選擇永久性的cookie的話，可以通過(guò)編程的辦法來(lái)改變這個(gè)值，畢竟50年實(shí)在是太長(zhǎng)了。

這個(gè)方法除了設(shè)定用戶登陸憑證外，在最后還會(huì)把用戶重定向到最初請(qǐng)求的頁(yè)面，即當(dāng)你沒(méi)有登錄而直接進(jìn)入受保護(hù)的文件夾時(shí)想去的那個(gè)頁(yè)面。如一開(kāi)始直接進(jìn)入登錄頁(yè)面，則最后會(huì)轉(zhuǎn)向根目錄下的default.aspx。

下面是具體的代碼演示，這段代碼是單擊登陸頁(yè)面的提交按鈕后執(zhí)行的，boxid和boxpd分別是輸入用戶名和密碼的textbox

[Copy to clipboard] [ - ]

CODE:

第一種，用戶資料保存于數(shù)據(jù)庫(kù)時(shí)

private void butlogin_Click(object sender, System.EventArgs e)

{

if(islogin(boxid.Text,boxpd.Text))

FormsAuthentication.RedirectFromLoginPage(boxid.Text,false);

else

Response.Write("error");

}

第二種，用戶資料保存于web.config時(shí)

private void butlogin_Click(object sender, System.EventArgs e)

{

if(FormsAuthentication.Authenticate(boxid.Text,boxpd.Text))

FormsAuthentication.RedirectFromLoginPage(boxid.Text,false);

else

Response.Write("error");

}

這就是驗(yàn)證的基本過(guò)程。

而如果想要注銷登陸，則用System.Web.Security的FormsAuthentication類的SignOut()方法

[Copy to clipboard] [ - ]

CODE:

private void butquit_Click(object sender, System.EventArgs e)

{

FormsAuthentication.SignOut();

}

它返回一個(gè)Set-Cookie頭，將Cookie的值設(shè)置為一個(gè)空字符串，并將Cookie的到器日期設(shè)置為一個(gè)過(guò)去的日期，從而有效銷毀驗(yàn)證cookie。

而在實(shí)際情況下，您可能更愿意在頂層web.config文件中完成所有的url授權(quán)，而不是把它們分在各自目錄下的web,config文件中。asp.net也支持這種做法。下面這個(gè)web,config文件，放在應(yīng)用程序根目錄下，它啟用窗體驗(yàn)證并指定其他的一些設(shè)置。假設(shè)您要保護(hù)的文件夾名為protd。

[Copy to clipboard] [ - ]

CODE:

<system.web>

</credentials>

</forms>

</authentication>

</system.web>

<system.web>

</authorization>

</system.web>

</location>

</configuration>

注意它的層次結(jié)構(gòu)，應(yīng)該有兩個(gè)<system.web>節(jié)。完成這個(gè)后，就可以把protd文件夾下的那個(gè)web.config刪掉，然后看看效果如何。

基本的知識(shí)就這么多了，其實(shí)Forms驗(yàn)證還有很多內(nèi)容，比如怎樣以編程的方式改變永久性cookie的生存期，怎么使用基于角色的驗(yàn)證等，這些大家找相關(guān)資料研究研究吧。當(dāng)然還是推薦上面說(shuō)到的那本書，以前關(guān)于Forms驗(yàn)證的也看了不少資料，但總是不明白，結(jié)果昨天一看那本書的講解，就豁然開(kāi)朗了。

最后再給出我常用的一個(gè)islogin()代碼。希望可以對(duì)初學(xué)者有些幫助。

[Copy to clipboard] [ - ]

CODE:

public bool islogin(string name,string password)

{

bool isok=false;

string errmsg="ok";

StringBuilder sbsel=new StringBuilder();

sbsel.Append("select name,password from youtable where name='");

sbsel.Append(name);

sbsel.Append("'");

try