淺析ASP.NET Forms驗證
ASP.NET Forms驗證,下面看一下授權的詳細過程:
1). 一旦一個用戶訪問這個網站,就行登錄確認了身份,身份驗證票的cookie也寫到了客戶端。之后,這個用戶再次申請這個web的頁面,身份驗證票的cookie就會發送到服務端。在服務端,ASP.NET為每一個http請求都分配一個HttpApplication對象來處理這個請求,在 HttpApplication.AuthenticateRequest事件后,安全模塊已建立用戶標識,就是此用戶的身份在web端已經建立起來,這個身份完全是由客戶端發送回來的身份驗證票的cookie建立的。
2). 用戶身份在HttpContext.User 屬性中,在頁面中可以通過Page.Context 來獲取同這個頁面相關的HttpContext對象。對于Forms驗證,HttpContext.User屬性是一個GenericPrincipal類型的對象,GenericPrincipal只有一個公開的屬性Identity,有個私有的m_role屬性,是string[]類型,存放此用戶是屬于哪些role的數組,還有一個公開的方法IsInRole(string role),來判斷此用戶是否屬于某個角色。
由于身份驗證票的cookie中根本沒有提供role屬性,就是說Forms身份驗證票沒有提供此用戶的role信息,所以,對于Forms驗證,在服務端得到的GenericPrincipal 用戶對象的m_role屬性永遠是空的。
3). GenericPrincipal. Identity 屬性是一個FormsIdentity類型的對象,這個對象有個Name屬性,就是此用戶的標示,訪問授權就是將此屬性做為user來進行授權驗證的。 FormsIdentity還有一個屬性,就是Ticket屬性,此屬性是身份驗證票FormsAuthenticationTicket類型,就是之前服務器寫到客戶端的身份驗證票。
服務器在獲取到身份驗證票FormsAuthenticationTicket對象后,查看這個身份驗證票是不是非持久的身份驗證,是的話要根據web.config中timeout屬性設置的有效期來更新這個身份驗證票的cookie(為避免危及性能,在經過了超過一半的指定時間后更新該 Cookie。這可能導致精確性上的損失。持久性 Cookie 不超時。)
4). 在HttpApplication.ResolveRequestCache事件之前,ASP.NET開始取得用戶請求的頁面,建立HttpHandler控制點。這就意味著,在HttpApplication.ResolveRequestCache事件要對用戶訪問權限就行驗證,看此用戶或角色是否有權限訪問這個頁面,之后在這個請求的生命周期內再改變此用戶的身份或角色就沒有意義了。
以上是ASP.NET Forms驗證的全過程,可以看出,這個ASP.NET Forms驗證是基于用戶的,沒有為角色的驗證提供直接支持。身份驗證票FormsAuthenticationTicket 中的Name屬性是用戶標示,其實還有一個屬性UserData,這個屬性可以由應用程序來寫入自定義的一些數據,我們可以利用這個字段來存放role的信息,從而達到基于角色驗證的目的。
- privatevoidButton1_Click(objectsender,System.EventArgse)
- {
- //實體類AdminUserVO對應AdminUser用戶表。
- AdminUserVOadminUserVO=newAdminUserVO();
- adminUserVO.Uname=UserName.Text.Trim();
- adminUserVO.Upwd=UserPwd.Text.Trim();
- adminUserVO.LastIP=HttpContext.Current.Request.UserHostAddress;
- adminUserVO.LastTime=DateTime.Now;
- boolflag=(newLoginDAO()).Chk(adminUserVO);
- if(flag)
- {
- //非角色驗證時可以用這句:
- //System.Web.Security.FormsAuthentication.SetAuthCookie(UserName.Text.Trim(),false);
- //創建角色驗證信息,把role信息寫入到UserData中
- SetLoginCookie(adminUserVO,adminUserVO.Roles.ToLower());
- HttpContext.Current.Response.Redirect("Main.aspx");
- }
- else
- {
- HttpContext.Current.Response.Write("登錄失敗");
- }
- }
【編輯推薦】
