来自 编程 2019-09-27 11:02 的文章
当前位置: 澳门三合彩票 > 编程 > 正文

所谓认证和授权是指对一个服务器资源的访问限

参考 :

ASP.NET中处理请求的流程图

一. 首先说一下使用FormsAuthentication进行验证的优点:

用法:

  1. 在web.config配置文件中

这篇主要说说实现和逻辑流程.

 <system.web>

所谓认证和授权是指对一个服务器资源的访问限制管理。

 <authorization>
      <deny users="?" />
    </authorization>

比如有一些文件是不公开的,只有管理人员能访问的到,这要求他们必须先"登入"。这就是认证

    <authentication mode="Forms" >
      <forms loginUrl="Login.aspx" name="a05" >
      </forms>

那么授权是在认证之后发生的事情,管理人员也有分等级,好比公司有些机密文件只有上层可以看。这就是授权.

    </authentication>

认证和授权微软已经为我们做了很多封装,form 认证就是其中一种。

 </system.web>

不过,这里我们先想想,在原始年代,我们要如何去实现呢?

注解: <deny users="?" /> 表示没有通过验证的时候 拒绝所有用户访问

我们都知道web所有资源都是通过http请求来访问的。显然第一步是拦截所有不公开的资源.

      <forms loginUrl="Login.aspx" name="a05" >       a05 表示cookie的名称

第二步就是检查他们是否"登入".

  1. 在login.aspx页面

所谓的"登入"其实就是通过一个 cookie 来完成的。

    protected void Button1_Click(object sender, EventArgs e)
        {
            FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket("UserName",false,30); 

如果请求没有附带指定的 cookie 那么就表示没有登入,就该阻止访问 .

            string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //加密
            //   存入Cookie
            HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
            authCookie.Expires = authTicket.Expiration;
            Response.Cookies.Add(authCookie);
        }

在登入页面确认用户密码后,给予cookie,就表示登入了啦 .

     注解: new FormsAuthenticationTicket("UserName",false,30); // UserName 是用户名 30 是过期时间(以分钟为单位)

第三步

如果用户说 部分页面不需要这个验证 可以这样解决:

通过了认证,我们必须查看这个用户的身份, 比如是经理,主管,还是普通员工。

新建立一个文件夹 在新的文件夹里面 添加web.config文件

进一步的验证用户是否有足够的权限来访问这个资源。

<?xml version="1.0"?>
<configuration>

好了,其实不太难。大至少就是这样了。

  <system.web>
    <authorization>
      <allow users="*"/>
    </authorization>
澳门三合彩票,  </system.web>

以上步骤涉及到2个重要的点 :

</configuration>

  1. 如果拦截特定的资源请求 ?

  2. cookie 的安全性

如何取得当前登录的用户的用户名?

下面我来个一个微软封装好的例子, 一般上普通项目够用了。

Context.User.Identity.Name

1.在web config 加上一个 authentication

如何退出登录?

<system.web>      <authentication mode="Forms">    <forms loginUrl="~/login/Default.aspx" timeout="2880" defaultUrl="~/" />  </authentication></system.web>

调用 SignOut.aspx) 方法以清除用户标识并移除身份验证票证 (Cookie)。然后将用户重定向到登录页

这里用 mode 是 forms

 //至此用法结束

loginUrl 是登入页面的路径 , timeout 是说cookie 的有效时间 , defaultUrl 我不清楚

现象就是 当用户没有登录的时候 访问任何页面 都就导航到login.aspx ; 用户登录后 就可以畅行无阻

  1. 做一个登入页面,这里只是随便做。你明白就可以了

    protected void Page_Load(object sender, EventArgs e){ }protected void Button1_Click(object sender, EventArgs e) //登入{ //set一个cookie , name and 是否要持久cookie,false的话会base on web config 的timeout FormsAuthentication.SetAuthCookie("keatkeat", false); }protected void Button2_Click(object sender, EventArgs e) //注销{ FormsAuthentication.SignOut(); }

  2. 设定哪些文件路径需要拦截认证

            当cookie过期的时候 和 没有登录的情形相同

path 指定路径,其下的所有folders files 都被限制了.

缺点: 在同一台机器上有2个人使用 如果第一个人已经登录 第二个人就不用登陆了

authorization 内的元素 有多种配搭模式

       或者 今天登陆了 ,明天就不用登陆了(同一个人 如果cookie过期时间足够长的话)

<deny users="?"> 基本上由 3 的东东做出来,

     这种情形对于 博客园 购物网站 一类的应用倒是挺合适的  不过对于一个web应用程序来说 不太合适

  1. deny | allow

那么这样的话 如何解决类此web应用程序登陆限制的需求呢?

2.users | roles | verbs ( users 用户 , roles 角色比较特别,后面我会教你如何设置一个或多个角色在一个user身上,verbs 就是http method ,GET POST 等)

我上一次写的 利用HttpModule 检查用户是否有权限打开指定的网址

  1. ? | * ( ? 代表匿名 , * 代表所有的)

 

所以上面这一句的解释是 -禁止匿名用户-

应该对这个话题有帮助

任何访问都是 users="*" , 登入后就不再是 users="?"

完成以上的步骤基本上就可以做到一个简单的认证授权机制了

本文由澳门三合彩票发布于编程,转载请注明出处:所谓认证和授权是指对一个服务器资源的访问限

关键词: