淺談ASP.NET Forms驗(yàn)證
ASP.NET Forms驗(yàn)證
用戶驗(yàn)證是每一個(gè)項(xiàng)目必須的一個(gè)模塊,由于已經(jīng)很久沒(méi)有碰到這一塊內(nèi)容,今天寫一個(gè)用戶驗(yàn)證居然腦子一片空白。于是乎就和一個(gè)同事進(jìn)行了一片討論,晚上回家決定把討論的結(jié)果給記錄下來(lái),以備后來(lái)之需。在ASP.NET中有幾種用戶驗(yàn)證的方法:Windows驗(yàn)證,F(xiàn)orms驗(yàn)證和Passport驗(yàn)證。當(dāng)然用戶也可以自定義與驗(yàn)證方法,而最常用的莫過(guò)于Forms驗(yàn)證,這也是今天所要討論的驗(yàn)證方式。
ASP.NET Forms驗(yàn)證方式首先要配置的是web.config文件,把a(bǔ)uthentication節(jié)點(diǎn)配置為Forms驗(yàn)證,而它默認(rèn)的是Windows驗(yàn)證。再修改配置文件時(shí),還要注意大小寫,因?yàn)閄ML文件是大小寫敏感的,修改后authentication節(jié)點(diǎn)如下所示,其中還包含了一些form的配置參數(shù)。
- <authenticationmodeauthenticationmode="Forms">
- <forms
- protection="All"
- timeout="20"
- name=".XDOTNET"
- loginUrl="SignIn.aspx"
- defaultUrl="Default.aspx"
- path="/"
- requireSSL="false"
- enableCrossAppRedirects="false"
- >
- </forms>
- </authentication>
關(guān)于forms節(jié)點(diǎn)的屬性在后面介紹FormsAuthetication類的有關(guān)成員時(shí),再介紹它們的用處。用戶驗(yàn)證,顧名思義就是驗(yàn)證用戶的合理性,當(dāng)用戶登錄到網(wǎng)站時(shí),驗(yàn)證輸入的用戶名和密碼是否和數(shù)據(jù)庫(kù)中存儲(chǔ)的數(shù)據(jù)相符合。其實(shí)很簡(jiǎn)單,有一種快速的方法,這種驗(yàn)證方法很適合后臺(tái)管理的驗(yàn)證,因?yàn)楫?dāng)我們關(guān)閉瀏覽器時(shí)驗(yàn)證就會(huì)失效。
- publicstaticboolValidUser(stringuserName,stringpassword)
- {
- if(!string.IsNullOrEmpty(userName)&&!string.IsNullOrEmpty(password))
- {
- password=FormsAuthentication.HashPasswordForStoringInConfigFile(password,"MD5");
- stringrealPassword=Users.GetUser(userName).Password;
- if(string.Compare(password,realPassword,true)==0)
- {
- FormsAuthentication.SetAuthCookie(userName,false);
- returntrue;
- }
- }
- returnfalse;
- }
上面的方法就可以驗(yàn)證以32位MD5加密的Password的數(shù)據(jù)驗(yàn)證,其中Users.GetUser(string)這個(gè)方法是通過(guò)用戶名從數(shù)據(jù)庫(kù)中取得用戶實(shí)例。當(dāng)用戶合理時(shí),通過(guò)FormsAuthentication.SetAuthCookie方法將為用戶(以用戶名)創(chuàng)建一個(gè)身份驗(yàn)證票證,并將其添加到響應(yīng)的 Cookie 集合或 URL(cookieless)。這樣就實(shí)現(xiàn)了用戶驗(yàn)證的過(guò)程,那么我們?cè)趺吹玫接脩羰欠裢ㄟ^(guò)驗(yàn)證呢?微軟把程序不斷的進(jìn)行封裝,不斷的傻瓜化,當(dāng)然想得到當(dāng)前用戶是否通過(guò)驗(yàn)證也很簡(jiǎn)單,代碼如下:
- public static bool IsAuthenticated()
- {
- return HttpContext.Current.User.Identity.IsAuthenticated;
- }
是不是很簡(jiǎn)單呢?當(dāng)用戶(只要后臺(tái)管理驗(yàn)證的情況下)驗(yàn)證只要這兩個(gè)步驟就OK了,當(dāng)用戶登錄如調(diào)用ValidUser方法,當(dāng)載入頁(yè)面時(shí)通過(guò) IsAuthenticated方法判斷當(dāng)前用戶是否通過(guò)驗(yàn)證。這樣一個(gè)用戶驗(yàn)證模塊也就完成了,但是在現(xiàn)代的網(wǎng)絡(luò)中,用戶是相當(dāng)?shù)闹靛X的東東,每個(gè)網(wǎng)站都會(huì)想留住很多的用戶;有時(shí)有些東西只允許會(huì)員才能夠查看等等,這樣就需要更好的驗(yàn)證。使用戶關(guān)閉瀏覽器后,在一段特定時(shí)間內(nèi)還處于通過(guò)驗(yàn)證狀態(tài)。這就需要操作和設(shè)置驗(yàn)證的票據(jù)FormsAuthenticationTicket,代碼如下:
- public static bool ValidUser(string userName, string password)
- {
- if (!string.IsNullOrEmpty(userName) && !string.IsNullOrEmpty(password))
- {
- password = FormsAuthentication.HashPasswordForStoringInConfigFile(password, "MD5");
- string realPassword = Users.GetUser(userName).Password;
- if (string.Compare(password, realPassword, true) == 0)
- {
- FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
- userName,
- DateTime.Now,
- DateTime.Now.AddMinutes(20),
- false,
- null//可以將Roles按","分割成字符串,寫入cookie
- );
- string data = FormsAuthentication.Encrypt(ticket);
- HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, data);
- cookie.Path = FormsAuthentication.FormsCookiePath;
- cookie.Domain = FormsAuthentication.CookieDomain;
- cookie.Expires = ticket.Expiration;
- HttpContext.Current.Response.Cookies.Add(cookie);
- return true;
- }
- }
- return false;
- }
從代碼中看到的FormsCookiePath,CookieDomain等等就是從配置文件中獲得,關(guān)于其它的FormsAuthentication成員可以訪問(wèn)MSDN(FormsAuthentication)。我們同樣也可以通過(guò)HttpContext.Current.User對(duì)象來(lái)判斷當(dāng)前用戶的狀況,也可以用IsInRole方法來(lái)判斷用戶的角色。當(dāng)然當(dāng)我們驗(yàn)證用戶后,要把用戶加入到Http上下文HttpContext的當(dāng)前請(qǐng)求的User對(duì)象中,代碼如下:
- FormsIdentity identity = new FormsIdentity(ticket);
- GenericPrincipal user = new GenericPrincipal(identity, new string[] { });
- HttpContext.Current.User = user;
這樣就完成了ASP.NET Forms驗(yàn)證的全過(guò)程。至于查看用戶的Cookie判斷用戶是否存在記錄狀態(tài)(如:記錄1個(gè)月,1天,1年等等),可以在管道中進(jìn)行判斷和編寫,這里就不再贅述。OK,由于時(shí)間的關(guān)系,就記錄這些,如果有什么錯(cuò)誤或更好的方法請(qǐng)大家指出,謝謝。
【編輯推薦】
