摘要: 安全管理是網站設計不可回避的問題,也是網站設計的重用組成部分.這些組成部分都需要對不 同的用戶進行識別,檢查用戶是否有權限對那些受限制的網頁進行訪問,這種方法稱為認證 (authentication).決定用戶可以對哪些內容進行訪問,這種方法稱為授權(authorization).這兩個概念容 易弄混淆,那麼可以這麼來理解: 認證---你是誰? 授權---我已經知道你是誰,你可以做什麼?認證和授 權是網站成員權限管理的一部分,包括創建新用戶,用戶證書管理(包括密碼保護機制,例如為遺忘密碼的用 戶進行密碼恢復)以及與賬戶關聯的角色管理.通過MS為我們提供的內置權限管理,我們可以快速建立整套 網站的權限管理系統.上篇主要討論"你是誰",下篇主要討論"我已經知道你是誰,你可以做什麼"
那麼我們接下來兩篇就是著重討論TheBeerHouse網站利用MS提供的內部權限管理機制(見開頭必備文章 鏈接)進行的認證和授權管理.
首先來看認證管理,即解決"你是誰"的問題.
一.用戶創建
首先通過界面右上登錄密碼下的 "Create new account "進入用戶賬戶創建頁面,如下圖:
通過上述界面我們可以創建一個用戶johnson,密碼也是johnson.需要注意的是: 1. 這裡注冊界面不是 多個用單個控件(label和textbox)組成,而是使用了ASP.NET 2.0提供的成員權限管理的控件 CreateUserWizard 2. 此界面上注冊信息比較單調,還有很多諸如國家,職業等信息在此界面創建用 戶成功後彈出的下一個個性化信息界面得到設置,如下圖:
