在做網站的時候,都會用到用戶登錄的功能。對於一些敏感的資源,我們只希望被授權的用戶才能夠訪問,這讓然需要用戶的身份驗證。對於初學者,通常將用戶登錄信息存放在Session中,筆者在剛接觸到asp.net的時候就是這麼做的。當我將用戶信息存在在Session中時,常常會遇到Session丟失導致用戶無法正常訪問被授權的資源,保持用戶登錄狀態時的安全性問題,無休其實,在asp.net中,我們有更好的解決方案,那就是通過Forms身份驗證,從而對用戶進行授權,這種方法可以輕松的保持用戶的登錄狀態(如果用戶想這樣),便捷的用戶授權配置,增強的安全性等好處。廢話不再多說,下面我們來做一個簡單的用
在做例子之前,我們先定義如下用戶類,類名為SampleUser,代碼如下:
public partial class SampleUser
{
string username;
public string UserName
{
get { return username; }
set { username = value; }
}
string userpwd;
public string UserPWD
{
get { return userpwd; }
set { userpwd = value; }
}
public override bool Equals(object obj)
{
SampleUser other = obj as SampleUser;
if (other == null || other.UserName != this.UserName)
return false;
return true;
}
}
public partial class SampleUser
{
public static List<SampleUser> userList = new List<SampleUser> {
new SampleUser() { UserName = "01", UserPWD = "123"},
new SampleUser() { UserName = "02", UserPWD = "123" },
new SampleUser() { UserName = "03", UserPWD = "123" },
new SampleUser() { UserName = "04", UserPWD = "123" },
};
public static SampleUser GetUser(string userName)
{
return userList.Find(u=>u.UserName == userName);
}
}
在類SampleUser中,定義了UserName和UserPWD兩個字段,分別用來存儲用戶的登錄名和密碼信息。在SampleUser類的另一部分中,我們提供了一個用戶的靜態類表,用來代替存儲在數據庫中的用戶信息,提供一個方法GetUser,用來獲取用戶信息。
在這個例子中,我們演示用戶必須進行登錄才能訪問網站的資源,如果沒有登錄,則將用戶導航到login.aspx頁面中。
第一步,在web.config中添加配置信息,說明網站要使用Forms身份驗證,並指定登錄頁面和默認登錄成功後的跳轉頁面,然後指定拒絕未登錄用戶的訪問,代碼如下:
<authentication mode="Forms"> <forms loginUrl="~/Login.aspx" defaultUrl="~/Default.aspx" /> </authentication> <authorization> <deny users="?"/> </authorization>
完成這一步後,我們再打開Default.aspx頁面,在沒有登錄的情況下,頁面會被導航到Login.aspx頁面,我們的第一步的目的已經達到了。
第二步,完成Login.aspx的頁面邏輯。在頁面中添加兩個TextBox控件,用來輸入用戶名和密碼;添加一個CheckBox控件,用來選擇是否保持登錄狀態;添加一個Button控件,響應用戶的登錄操作。相應的代碼如下:
<fieldset>
<legend>用戶登陸</legend>
<div>
用戶名:<asp:TextBox ID="txtUserID" runat="server" Width="150" /><br /><br />
密 碼:<asp:TextBox ID="txtUserPWD" runat="server" TextMode="Password" Width="150" /><br /><br />
<asp:CheckBox ID="cbSaveUserName" runat="server" Checked="true" Text="保持登錄狀態" />
</div><br />
<asp:Literal ID="ltMessage" Text="" runat="server" Visible="false" />
<br />
<p>
<asp:Button ID="btnLogin" Text="登陸" runat="server" OnClick="btnLogin_Click" />
</p>
</fieldset>
接下來完成後台代碼,添加登陸按鈕的後台處理方法:對用戶名和密碼進行驗證,如果驗證通過,則為用戶名創建一個身份驗證票據,並將其添加到響應的Cookie中。代碼如下:
protected void btnLogin_Click(object sender, EventArgs e)
{
string userID = this.txtUserID.Text.Trim();
string userPWD = this.txtUserPWD.Text.Trim();
SampleUser userEx = SampleUser.GetUser(userID);
if (userEx == null)
{
ltMessage.Text = "用戶不存在!";
ltMessage.Visible = true;
return;
}
if (userEx.UserPWD != userPWD)
{
ltMessage.Text = "用戶名或密碼錯誤,請重新輸入!";
ltMessage.Visible = true;
return;
}
//添加票據,並將用戶導航到默認頁面
FormsAuthentication.RedirectFromLoginPage(userEx.UserName, this.cbSaveUserName.Checked);
}
完成這一步後,我們就已經完成了簡單Froms驗證的功能。運行程序,你會發現,這裡存在一個問題!!!
你發現了嗎?當我們被導航到login.aspx時,這個頁面的樣式丟失了!這是因為我們對整個網站的資源進行了訪問限制,如果沒有登陸,用戶不僅無法訪問.aspx頁面,甚至連css文件、js文件都無法訪問。顯然,這不是我們想要的,因為這些資源並不是敏感的資源。在通常情況下,我們只希望對部分文件夾中的文件進行驗證訪問限制,而不是整個網站,例如,我們允許只對User文件夾下的頁面進行訪問限制,因為這個文件夾中存放的是用戶的私人信息,這些信息是敏感的。這該如何實現呢?
為了完成演示分目錄驗證,我們在項目中添加一個User文件夾,並添加UserInfo.aspx、 UserLogin.aspx兩個頁面。UserInfo.aspx用來展示用戶信息,它的業務邏輯我們不是我們關心的,UserLogin.aspx頁面用來讓用戶登陸,代碼跟Login.aspx頁面幾乎完全相同。
第一步:修改Web.config文件,允許匿名用戶訪問系統資源。
<authorization> <allow users="?"/> </authorization>
第二步:在User文件夾下添加一個Web.config文件,修改代碼,拒絕匿名用戶訪問該文件夾下的資源。
<authorization>
<deny users="?"/>
</authorization>
完成這兩步後,我們訪問UserInfo.aspx時,如果沒有登陸,則會被導航到~/User/UserLogin.aspx頁面,當登陸後,又會被導航到~/User/UserInfo.aspx頁面。這個時侯,我們的登陸頁面樣式並沒有丟失,這說明我們的配置文件起作用了。
接下來,我們想在UserInfo.aspx頁面中顯示出已登陸用戶的用戶名和密碼(這裡完全是為了演示如何獲取登陸用戶數據才這樣做的,通常用戶的密碼是不會展示的)。在進行登陸後,用戶的票據信息被加密保存在Cookie中,這個票據中,有已登錄用戶的名稱信息,我們通過獲取票據中的用戶名,即可獲取到完整的用戶信息。
為了顯示用戶信息,我們在頁面中放置兩個Label控件,代碼如下:
<h2> <p>用戶名:<asp:Label ID="lblUserName" Text="" runat="server" /></p> <p>密 碼:<asp:Label ID="lblUserPWD" Text="" runat="server" /></p> </h2>
然後,我們在頁面的Load方法中,獲取並展示用戶信息:
if (this.Context.User != null && this.Context.User.Identity != null && this.Context.User.Identity.IsAuthenticated)
{
SampleUser user = SampleUser.GetUser(this.Context.User.Identity.Name);
if (user != null)
{
this.lblUserName.Text = user.UserName;
this.lblUserPWD.Text = user.UserPWD;
}
}
再次運行我們的代碼,當用戶登陸後(如果保持登陸狀態,即使關掉並重新打開浏覽器),我們都可以獲取到已登錄用戶的Name,從而獲取用戶的對象。
如果要退出登陸,我們只需要刪除保存在Cookie中的票證信息即可,這個功能Forms驗證已經幫我們完成,代碼很簡單:
FormsAuthentication.SignOut(); //退出登陸
在本文中,沒有涉及到角色的驗證,這是因為通過在配置文件中指定角色這種方法並不夠靈活,如果角色是可以在程序中維護的,那麼我們在這裡的指定就形同虛設了。感興趣的朋友可以自行學習,也並不復雜。在本文的結尾,附上詳細的Forms驗證在Web.config中的配置說明:
<forms name="name" loginUrl="URL" defaultUrl="URL" protection="[All|None|Encryption|Validation]" timeout="[MM]" path="path" requireSSL="[true|false]" slidingExpiration="[true|false]"> enableCrossAppRedirects="[true|false]" cookieless="[UseUri|UseCookie|AutoDetect|UseDeviceProfile]" domain="domain name" ticketCompatibilityMode="[Framework20|Framework40]"> <credentials>...</credentials> </forms>
子元素 credentials:允許選擇在配置文件中定義名稱和密碼憑據。您還可以實現自定義的密碼架構,以使用外部源(如數據庫)來控制驗證。
以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持幫客之家。
