Asp.Net基于forms的验证机制

项目需要研究了下Asp.Net的基于forms的验证机制

构建基于forms的验证机制过程如下:

1,设置IIS为可匿名访问和asp.net web.config中设置为form验证

2,检索数据存储验证用户,并检索角色(如果不是基于角色可不用)

简单无role方式:

使用FormsAuthenticationTicket创建一个Cookie并回发到客户端,并存储 角色到票中,如:

FormsAuthentication.SetAuthCookie(Username,true | false)

cookies保存时间:

HttpContext.Current.Response.Cookies[FormsAuthentication.FormsCookieName].Expires=DateTime.Now.AddDays(1)

如果需要存储角色方式:view plaincopy to clipboardprint?

FormsAuthenticationTicket authTicket = new

FormsAuthenticationTicket(

1, // version

txtUserName.Text, // user name

DateTime.Now, // creation

DateTime.Now.AddMinutes(20),// Expiration

false, // Persistent

roles ); // User data

//roles是一个角色字符串数组

string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密

FormsAuthenticationTicket authTicket = new

FormsAuthenticationTicket(

1, // version

txtUserName.Text, // user name

DateTime.Now, // creation

DateTime.Now.AddMinutes(20),// Expiration

false, // Persistent

roles ); // User data

//roles是一个角色字符串数组

string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密 存入Cookie view plaincopy to clipboardprint?

HttpCookie authCookie =

new HttpCookie(FormsAuthentication.FormsCookieName,

encryptedTicket);

Response.Cookies.Add(authCookie);

HttpCookie authCookie =

new HttpCookie(FormsAuthentication.FormsCookieName,

encryptedTicket);

Response.Cookies.Add(authCookie); 在Application_AuthenticateRequest事件中处理程序中(Global.asax)中,使用票创建IPrincipal对象并存在HttpContext.User中代码: view plaincopy to clipboardprint?

protected void Application_AuthorizeRequest(object sender, System.EventArgs e)

{

HttpApplication App = (HttpApplication) sender;

HttpContext Ctx = App.Context ; //获取本次Http请求相关的HttpContext对象

if (Ctx.Request.IsAuthenticated == true) //验证过的用户才进行role的处理

{

FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;

FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份验证票

string[] Roles = Ticket.UserData.Split (',') ; //将身份验证票中的role数据转成字符串数组

Ctx.User = new GenericPrincipal (Id, Roles) ; //将原有的Identity加上角色信息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息

}

}

protected void Application_AuthorizeRequest(object sender, System.EventArgs e)

{

HttpApplication App = (HttpApplication) sender;

HttpContext Ctx = App.Context ; //获取本次Http请求相关的HttpContext对象

if (Ctx.Request.IsAuthenticated == true) //验证过的用户才进行role的处理

{

FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;

FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份验证票

string[] Roles = Ticket.UserData.Split (',') ; //将身份验证票中的role数据转成字符串数组

Ctx.User = new GenericPrincipal (Id, Roles) ; //将原有的Identity加上角色信息新建一个GenericPrincipal表示当前用户,这样当前用户就拥有了role信息

}

}需要对某些页面进行角色控制,有两种方法:

1、web.config中加 view plaincopy to clipboardprint?

<location path="EditPost.aspx">

<system.web>

<authorization>

<allow roles="RoleName" />

<deny users="?" />

</authorization>

</system.web>

</location>

<location path="EditPost.aspx">

<system.web>

<authorization>

<allow roles="RoleName" />

<deny users="?" />

</authorization>

</system.web>

</location> 2、把只能是某种角色访问的文件放在同一目录下,在此目录下添加一个web.config view plaincopy to clipboardprint?

<configuration>

<system.web>

<authorization>

<allow roles="RoleName" />

<deny users="*" />

</authorization>

</system.web>

</configuration>

<configuration>

<system.web>

<authorization>

<allow roles="RoleName" />

<deny users="*" />

</authorization>

</system.web>

</configuration> 说明:子目录的web.config设置优先于父目录的web.config设置

以上参考:http://www.cnblogs.com/kwklover/archive/2004/06/29/19455.aspx
http://www.donews.net/robinblood/archive/2005/04/30/358041.aspx

 
Asp.net中基于Forms验证的角色验证授权
Asp.net中基于Forms验证的角色验证授权Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个...查看完整版>>Asp.net中基于Forms验证的角色验证授权
 
Asp.net中基于Forms验证的角色验证授权
Asp.net中基于Forms验证的角色验证授权Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个...查看完整版>>Asp.net中基于Forms验证的角色验证授权
 
使用ASP.Net Forms模式实现WebService身份验证
在安全性要求不是很高的ASP.Net程序中,基于Forms的身份验证是经常使用的一种方式,而如果需要对WebService进行身份验证,最常用的可能是基于Soap 标头的自定义身份验证方式。如果对两者做一下比较的话,显然,基于F...查看完整版>>使用ASP.Net Forms模式实现WebService身份验证
 
[ASP.NET 教程] 三. Web Forms编程模型
1. Web Forms编程模型Web Forms中的用户界面是由HTML和服务器控件共同描述的。每个控件标签都对应了一个服务器上的实际的对象。控件触发的事件是在服务器端处理的。ASP.NET将客户端与服务器端的处理“融合&rdqu...查看完整版>>[ASP.NET 教程] 三. Web Forms编程模型
 
[ASP.NET 教程] 二. Web Forms
1. 服务器端处理虽然form.html能够通过post或者get方法产生回发,但是它仍然不能够处理用户输入,仍然是一个静态页面,现在我们需要在服务器端处理用户输入及回发。在服务器端处理用户输入有很多方式,因为本文是ASP...查看完整版>>[ASP.NET 教程] 二. Web Forms