首页 >> 读书频道 >> 电脑 >> 基于FORM的验证
 
· 基于WINDOWS的验证
· MD5算法之C#程序 M
· Application的
· 对C#开发两个基本原则的
· Application和
· 编写global.asa
· 配置Config.web
· 用C#代码编写的SN快速
· 用Visual C#实现
· 应用程序
· Visual C#实现M
· 如何开发一个多种语言版本
 
· 电视剧《刁蛮公主》下载和
· 美容养颜手册
· 加油金顺剧情分集介绍完整
· 红楼梦:120回全本[清
· 素质教育在美国
· 全唐诗卷四十六
· 韩剧《布拉格恋人》剧情介
· 夜航船[作者:明·张岱]
· 局外人[作者:韩·可爱淘
· 现场流行病学
· 源氏物语[日本:紫式部]
· 武林寓言故事
 
· (出租)中动商场部分及写
· (出租)中动动漫基地&#
· 喜剧学院
· 《善德女王》剧情介绍
· 魔女18号 剧情
· 丑女无敌剧情介绍
· 魔女幼熙剧情介绍
· 龙游天下剧情介绍
· 震撼世界的七日剧情介绍
· 静静的白桦林剧情介绍
· 心情日记—老公今天我想对
· 旗舰剧情介绍
欢迎来到月影社区!如果您觉得这里不错,请推荐给您的朋友们。月影社区:http://wf66.com/

基于FORM的验证


查看有无更新版本

关键字:ASP.NET 2006-9-20

 

基于FORM的验证,实际上是允许应用程序定义自己的验证画面和可信性验证。当用户进入时,出现事先定义的画面并请求输入验证要素,输入完毕,用用户逻辑对输入验证,通过,则进入应用,否则,返回起始输入画面。基于FORM的验证,通常都采用cookies技术来实现验证任务。启用基于FORM的验证,是在config.web中设置<authentication mode=”Cookie” />来实现的。

例如:采用基于Form的验证方式,拒绝匿名用户进入的配置段如下:
<!--config.web->

<configuration>
    <security>
        <authentication mode="Cookie"/>
        <authorization>
            <deny users="?" />
        </authorization>
    </security>
</configuration>

其中,<authorization>一节中,用deny标识表示禁止某种用户,“?”代表匿名用户,“*”代表所有用户,当然在users后也可以跟指定的用户,表示只拒绝指定的用户。

此外,在配置节中还有一个cookie标识,它规定了Cookie的行为,也较为重要。Cookie标识有三个属性:
•decryptionkey 用于指定对cookie加解密的密钥。如果不指定或指定为autogenerate,密钥将采用Crypto API产生的系统密钥。当指定为autogenerate时,产生的密钥和机器相关,因而不能跨机器和平台,除非显示给出密钥。
•loginurl 验证页面。当用户验证失败以后,被定向到的页面,它可以是在本地,也可以是其他机器上。
•cookie  指定用于验证任务的cookie的名字。由于在同一台机器上,可能存在多个应用,而同一应用使用一个cookie名,所以同一机器上的cookie名字不能相同。

例如,在config.web中有如下定义:
<!--config.web -->

<security>
    <authentication mode="Cookie">
        <cookie decryptionkey="autogenerate" loginurl="login.aspx"
 cookie=".ASPXCOOKIEDEMO" /> 
    </authentication>
</security>

从这段配置,我们可以知道cookie的密钥由系统产生,当验证失败以后,页面将跳转至login.aspx,cook名为“.ASPXCOOKIEDEMO”

在基于FORM的验证中,一个常用到的对象是CookAuthentication。
CookAuthentication有4个比较重要的方法:
•RedirectFromLoginPage方法,它通常在验证成功以后,从用户的验证画面返回用户开始请求的页面。它带有两个参数,第一个为cookie要记录的用户名,第二个表明是否记录到永久性cookie中。
例如:
 CookieAuthentication.RedirectFromLoginPage(“Chen”,True)
表示把用户“Chen”记录到硬盘上的cookie记录中,然后跳转到用户原先请求的页面上。

•GetAuthCookie 从cookie中取得指定用户名的值。它的参数和RedirectFromLoginPage方法是一样的。
例如:
CookieAuthentication.GetAuthCookie(“Chen”,Flase)
表示从当前连接的cookie中取出用户名为chen的值

•SetAuthCookie 把指定用户名存入cookie中。参数和GetAuthCookie方法一致
例如:
CookieAuthentication.SetAuthCookie(“Chen”,Flase)
表示把用户“Chen”记录到连接过程中存在的cookie中

•SignOut 删除当前用户的验证Cookie,它不会理会Cookie到底是在内存,还是在硬盘上。

下面我将介绍一个完整的例子:
application\delault.aspx文件:

<%@ Import Namespace="System.Web.Security " %>

<html>

  <script language="VB" runat=server>
 
    Sub Page_Load(Src As Object, E As EventArgs)
        Welcome.Text = "Hello, " + User.Identity.Name
    End Sub

    Sub Signout_Click(Src As Object, E As EventArgs)
        CookieAuthentication.SignOut()
  ‘删去Cookies
        Response.Redirect("login.aspx")
        ‘返回验证画面
    End Sub

  </script>

  <body>
 
    <h3><font face="Verdana">使用Cookie验证方式</font></h3>
   
    <form runat=server>
   
      <h3><asp:label id="Welcome" runat=server/></h3>
   
      <asp:button text="Signout" OnClick="Signout_Click" runat=server/>
     
    </form>
   
  </body>

</html>


application\login.aspx文件:

<%@ Import Namespace="System.Web.Security " %>

<html>

  <script language="VB" runat=server>

    Sub Login_Click(Src As Object, E As EventArgs)
        If (UserEmail.Value = "test@263.net" Or UserEmail.Value = "try@163.net") And UserPass.Value = "password"
 ‘如果用户为test@263.net或者是try@163.net而且口令为password,就认为通过验证
CookieAuthentication.RedirectFromLoginPage(UserEmail.Value, PersistCookie.Checked)
     ‘记录Cookie并且跳转到请求的页面
        Else
            Msg.Text = "非法用户或口令: 请重试"
        End If
    End Sub

  </script>

  <body>
   
    <form runat=server>
   
      <h3><font face="Verdana">登录窗口</font></h3>

      <table>
        <tr>
          <td>Email地址:</td>
          <td><input id="UserEmail" type="text" runat=server/></td>
          <td><ASP:RequiredFieldValidator ControlToValidate="UserEmail" Display="Static" ErrorMessage="*" runat=server/></td>
        </tr>
        <tr> 
          <td>口令:</td>
          <td><input id="UserPass" type=password runat=server/></td>
          <td><ASP:RequiredFieldValidator ControlToValidate="UserPass" Display="Static" ErrorMessage="*" runat=server/></td>
        </tr>
        <tr>
          <td>永久性Cookie:</td>
          <td><ASP:CheckBox id=PersistCookie runat="server" /> </td>
          <td></td>
        </tr>
      </table>
     
      <asp:button text="Login" OnClick="Login_Click" runat=server/>
     
      <p>
     
      <asp:Label id="Msg" ForeColor="red" Font-Name="Verdana" Font-Size="10" runat=server />

    </form>
  </body>

</html>

config.web文件:

<configuration>

  <security>
   
<authentication mode="Cookie">
<!--采用cookie验证方式-->
<cookie decryptionkey = "autogenerate" loginurl = "login.aspx" cookie = ".ASPXUSERDEMO" />
<!--密钥系统产生,登录页面为login.aspx,记录的Cookie名为.aspuserdemo--> 
    </authentication>
 <authorization>
<deny users="test@263.net" />
<!--虽然程序中有两个用户test@263和try@163.net可以进入,但此处封掉test@263.net,观察deny标识是否有效-->
<deny users="?" />
<!--拒绝匿名用户anonymous-->
    </authorization>
      </security>
  <globalization requestencoding="UTF-8" responseencoding="UTF-8" />
</configuration>

我们还可以在config.web中设置用户和密码,当用户在验证窗口输入用户和密码后,将其带入CookieAuthenticationManager.Authenticate,有它来验证是否是合法用户。
在config.web中设置用户和密码使用credentials标识,它有一个属性passwordformat,决定口令存储的方式。Passwordformat可以为以下值:
•Clear 口令以纯文本方式存储。
•SHA1 口令以SHA1方式存储。
•MD5  口令以MD5方式存储。

例如: 在一个配置文件中,

<!--config.web-->

<configuration>

<security>
    <authentication>
        <credentials passwordformat=”SHA1” >
            <user name=”Li” password=”GASDFSA9823598ASDBAD”/>
            <user name=”Chen” password=”ZASDFADSFASD23483142”/> 
        </credentials>
    </authentication>
</security>

</configuration>
从这个例子,我们看到credentials标识中的passwordformat为SHA1,所以下面的用户的密码是以SHA1方式加密以后的格式。在<credentials>和</credentials>之间我们定义了两个用户“Chen”和”Li”,其密码不可识别。
4.5.4 授权用户和角色
URL授权控制对资源的访问权限。它可以使一些用户和角色对资源有存取权限,也可以拒绝某些用户和角色对资源的存取。甚至它还可以决定能够存取资源的HTTP方法(例如:不允许get,允许POST等等)。
 对于授权用户和角色的控制,asp.net通过配置文件config.web中的<authorization>标识段来实现。<allow>标识表示允许对资源的访问,<deny>标识表示拒绝对资源的访问。
 它们都有两个属性,users和roles分别表示用户和角色。
 我们来看一个实例:
 <!--config.web->
 …
 <configuration>
<security>
    <authorization>
        <allow users="nobody@163.net" />
        <allow roles="Admins" />
        <deny users="*" />
    </authorization>
</security>
</configuration>
 …
 它表明了这样一个事实,用户“nobody@163.net“和角色Admins有访问本站点的权力,其他用户对本站点的访问将被拒绝。也就是用户nobody@163.net和角色Admins分别是授权用户和授权角色。

 同样,我们可以定义多个用户或者角色被授权或禁止,它们之间以“,“分隔。
例如:
 …
 <allow users=”Chen,Li,Wang” />
 <deny roles=”Admins,Everyone” />
 …
表示用户“Chen”、“Li”、”Wang”是授权用户,但是角色为“Admins”或者是”Everyone”的被排除在外。
 它的效果和分开写是一样的,如上例也可以写为:
 …
 <allow users=”Chen” />
 <allow users=”Li” /> 
<allow users=”Wang” />
<deny roles=”Admins” />
<deny roles=”Everyone” />

 此外,还可以决定用户的某种HTTP方法是否可以被允许,方法是使用verb属性来表明对那种HTTP方法操作。
 例如:

  <allow verb=post users=”Chen,Li” />
  <deny verb=get roles=”everyone” />

表示允许用户“Chen”,”Li“采用post方法访问资源,而拒绝角色everyone的get方式对资源的访问。

符号“*“和”?“在<allow>和<deny>标识中有特殊的含义。”*“表示任何用户,”?“表示匿名用户。
例如:
 …
 <authorization>
  <allow users=”*” />
  <deny users=”?” />
 </authorization>
表示除了匿名用户以外的所有用户都被允许访问本站点。

由前面的学习我们知道,在asp.net中应用是树型分层的,所以其配置文件也是呈层次结构,这也就导致了用户和角色的授权不是单一的结果,它要取决于沿树型结构上所有配置文件指定的结果的合集,而且越接近叶节点的配置越是有效。
例如:访问http:www.my.com/MyApp/a.aspx
在http:www.my.com的根目录下的配置文件config.web有如下内容:

<security>
<authorization>
 <allow users=”*” />
</authorization>
</security>

而在MyApp目录下有配置文件config.web内容如下:

<security>
<authorization>
  <allow users=”Chen” />
<deny users=”*” />
</authorization>
<security>

那么,授权用户的集合到底是怎样的呢?asp.net首先取得站点根目录下的配置,即所有用户都被允许访问,然后asp.net进入Myapp的目录取得其下的配置,除用户“Chen”以外所有的用户被拒绝,最后合并两个授权集合,并且如果两者之间有冲突,以后者为准。所以最终的授权集合为用户“Chen”,其他用户被拒绝。

基于FORM的验证

[ 1 ]
基于FORM的验证 num

打印本页 关闭

关于我们版权声明本站导航友情连结作品演示 TOP↑