ASP“.NET研究”.NET中的认证与授权

简介:   用户认证  .net提供了3种用户认证的方式,分别是Windows,Forms,Passport。这几种形式的定义可以在网站根目录下Web.config中的authentication节点中看见。

  用户认证

  .net提供了3种用户认证的方式,分别是Windows,Forms,Passport。这几种形式的定义可以在网站根目录下Web.config中的authentication节点中看见。Windows是默认的验证形式,它是根据机器的访问权限来判断的。Passport是微软提供的一种验证形式,不常用。我们需要的知道并了解的是forms形式。forms验证就是表单认证,提供了以身份id和密码的形式进行验证和授权管理的功能。

在正式使用forms验证之前我们先看看它运行的一个流程:

用户认证与授权

  从上图我们可以看出我们需要做一下几件事情:

  1.配置web.config启用forms验证

  2.配置授权设置(哪些页面未注册用户可以访问)

  3.登录页面中生成用户票据便于其他页面访问

  下面就来通过一个项目例子演示如何解决。源代码我会在下面放出来,大家可以参照源代码看看。先看看项目的截图以便有个直观的了解:

项目

  配置web.config

  配置方法如下,没有验证的用户根据配置自动跳转到loginUrl里面的页面去登陆。

 
 
< authentication mode ="Forms" >
< forms loginUrl ="~/Login.aspx" defaultUrl ="~/Default.aspx" />
</ authentication >

  配置授权设置

  同样是在web.config中的<system.web>下增加如下节点,“?”的意思指匿名用户,而“*”则表示所有用户。下面这个意思就是说根目录下的所有页面拒绝被匿名用户访问。当然你也可以在users中填写指定的用户ID,不过那样并不常用。还有deny,allow的顺序是先写allow完了再deny,不然就会出现问题。这个大家要记住。

上海网站建设
 
 
< authorization >
< deny users ="?" />
</ authorization >

  生成用户票据

  我们在登录事件的逻辑代码中(Login.aspx下)增加如下代码:

 
 
// 为用户创建一个票证,并将其放入cookie或者url中(具体看你怎么设置票证的保存方式)
FormsAuthentication.SetAuthCookie(userId, true );
Response.Redirect(
" Info.aspx " );

  很简单的几个设置就完成了用户的认证,是不是比你在每个页面中都判断用户是否登录简便的多呢?!当然了,上面的认证只是简单的认证。假如我要实现User文件夹内的网页只有登录用上海徐汇企业网站设计与制作户可以访问,其他的则全部用户都可以访问怎么做呢?很简单,不需要你编写代码。更改一下配置文件就是了。将根目录下的web.config的authorization标签改为<allow users="*"/>。然后在user文件下加一个web.config并修改内容如下:

 
 
< configuration >
< appSettings />
< connectionStrings />
< system.web >
< authorization >
< deny users ="?" /> <!-- 拒绝匿名用户访问 -->
</ authorization >
</ system.web >
</ configuration >

  现在再去测试看看已经能达到效果了。所以说通过配置文件的组合你可以构造出一个相对复杂的用户授权访问机制出来。不过通常我们的用户不是会员与非会员那么简单。会员中也有类别,比如初级,高级等等。这些用户能访问的用户也是不一样的。这时这种简单的登录不登录判断已经没有用了,我们需要引入用户角色的概念,也就是我们下面讲的用户授权。

   用户授权

      我们这里将的用户授权主要是基于角色的授权。上面我们已经讲过了认证用户的原理,就是通过用户登录的时候给用户一个表明身份的票据,以后用户登录的时候通过这个票据就能知道这个用户已经被认证了。角色授权就是在给用户票据的时候在里面假如了一个字符串的角色信息,比如“Administrator”,然后当一个请求过来的时候asp.net会有一个Application_AuthenticateRequest的事件专门用户验证用户认证授权。在这个事件中我们只需将这个字符表达的角色重建给用户就可以了。可惜的是.net并没有提供对角色的直接支持,虽然角色字符也被我们保存到了cookie中,不过也在服务器端的角色还原过程还是需要我们自己写的。我们在Global.asax的Application_AuthenticateRequest方法中增加如下代码:

 
 
protected void Application_AuthenticateRequest( object sender, EventArgs e)
{
HttpApplication app
= (HttpApplication)sender;
HttpContext context
= app.Context; 上海闵行企业网站制作/span>//获取本次Http请求的HttpContext对象
if (context.Request.IsAuthenticated) //验证过的一般用户才能进行角色验证
{
FormsIdentity Id
= (FormsIdentity)context.User.Identity; //当前用户标识
FormsAuthenticationTicket Ticket = Id.Ticket; //取得身份证票
string[] Roles = Ticket.UserData.Split(','); //将角色数据转成字符串数组,得到相关的角色信息
context.User = new System.Security.Principal.GenericPrincipal(Id, Roles); //重新生成带有角色信息的用户
}
}

  因为我们需要在票据中增加角色信息,所以我们上面的登录方法中添加票据的方法已经不再适用,更改为如下:

 
 
// 点击登陆按钮
// 这里假设已经通过了数据库的对比,确实存在该用户
string userId = " qianlifeng " ;
string pa = " 123 " ;

string roles = " Administrator " ; // 从其他地方取得用户角色数据

FormsAuthenticationTicket Ticket
= new FormsAuthenticationTicket( 1 , userId, DateTime.Now, DateTime.Now.AddMinutes( 30 ), true , roles); // 建立身份验证票对象
string HashTicket = FormsAuthentication.Encrypt(Ticket); // 加密序列化验证票为字符串
HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket); // 生成Cookie
Context.Response.Cookies.Add(UserCookie); // 上海徐汇企业网站制作 票据写入Cookie
Response.Redirect( " Info.aspx " );

  最后我们再来更改一下配置文件,设置info.aspx只有Administrator的角色才可以访问。在根目录的web.config下<system.web>标签下面增加如下配置:

 
 
< location path ="Info.aspx" >
< system.web >
< authorization >
< allow roles ="Administrator" />
< deny users ="*" />
</ authorization >上海企业网站制作n style="color: #000000;">
</ system.web >
</ location >

  表示info.aspx只有administrator角色的会员才能访问。当然如果你想实现文件夹的授权设置,和上面的设置类似在那个文件夹下面的web.config配置一下即可。

   类似文章推荐

  其实园子内这类的文章已经不少了,我之所以要写这么一篇主要还是想通过写博客来加深这块知识的理解。下面是我找的比较不错的认证授权的文章,意犹未尽的可以接着再看看。

  无常,http://www.cnblogs.com/wuchang/archive/2004/07/26/27474.aspx

  菩提树下的杨过.Net,http://www.cnblogs.com/yjmyzz/archive/2010/08/29/1812038.html

  源码下载: Demo
目录
相关文章
|
1月前
|
JSON 算法 安全
JWT Bearer 认证在 .NET Core 中的应用
【10月更文挑战第30天】JWT(JSON Web Token)是一种开放标准,用于在各方之间安全传输信息。它由头部、载荷和签名三部分组成,用于在用户和服务器之间传递声明。JWT Bearer 认证是一种基于令牌的认证方式,客户端在请求头中包含 JWT 令牌,服务器验证令牌的有效性后授权用户访问资源。在 .NET Core 中,通过安装 `Microsoft.AspNetCore.Authentication.JwtBearer` 包并配置认证服务,可以实现 JWT Bearer 认证。具体步骤包括安装 NuGet 包、配置认证服务、启用认证中间件、生成 JWT 令牌以及在控制器中使用认证信息
|
3月前
|
开发框架 前端开发 .NET
VB.NET中如何利用ASP.NET进行Web开发
在VB.NET中利用ASP.NET进行Web开发是一个常见的做法,特别是在需要构建动态、交互式Web应用程序时。ASP.NET是一个由微软开发的开源Web应用程序框架,它允许开发者使用多种编程语言(包括VB.NET)来创建Web应用程序。
62 5
|
4月前
|
存储 开发框架 安全
ASP.NET WebApi 如何使用 OAuth2.0 认证
ASP.NET WebApi 如何使用 OAuth2.0 认证
|
4月前
|
开发框架 JSON .NET
ASP.NET Core 标识(Identity)框架系列(三):在 ASP.NET Core Web API 项目中使用标识(Identity)框架进行身份验证
ASP.NET Core 标识(Identity)框架系列(三):在 ASP.NET Core Web API 项目中使用标识(Identity)框架进行身份验证
|
4月前
|
开发框架 .NET 开发工具
【Azure 应用服务】App Service 的.NET Version选择为.NET6,是否可以同时支持运行ASP.NET V4.8的应用呢?
【Azure 应用服务】App Service 的.NET Version选择为.NET6,是否可以同时支持运行ASP.NET V4.8的应用呢?
|
5月前
|
开发框架 搜索推荐 前端开发
【.NET全栈】ASP.NET开发Web应用——Web部件技术
【.NET全栈】ASP.NET开发Web应用——Web部件技术
|
4月前
分享一份 .NET Core 简单的自带日志系统配置,平时做一些测试或个人代码研究,用它就可以了
分享一份 .NET Core 简单的自带日志系统配置,平时做一些测试或个人代码研究,用它就可以了
|
4月前
|
开发框架 .NET 数据库连接
ASP.NET Core 标识(Identity)框架系列(一):如何使用 ASP.NET Core 标识(Identity)框架创建用户和角色?
ASP.NET Core 标识(Identity)框架系列(一):如何使用 ASP.NET Core 标识(Identity)框架创建用户和角色?
|
6月前
|
机器学习/深度学习 JSON 测试技术
CNN依旧能战:nnU-Net团队新研究揭示医学图像分割的验证误区,设定先进的验证标准与基线模型
在3D医学图像分割领域,尽管出现了多种新架构和方法,但大多未能超越2018年nnU-Net基准。研究发现,许多新方法的优越性未经严格验证,揭示了验证方法的不严谨性。作者通过系统基准测试评估了CNN、Transformer和Mamba等方法,强调了配置和硬件资源的重要性,并更新了nnU-Net基线以适应不同条件。论文呼吁加强科学验证,以确保真实性能提升。通过nnU-Net的变体和新方法的比较,显示经典CNN方法在某些情况下仍优于理论上的先进方法。研究提供了新的标准化基线模型,以促进更严谨的性能评估。
170 0
|
6月前
|
Linux C# C++
【.NET Developer】创建ASP.NET Core Blazor项目并打包为Linux镜像发布到Azure应用服务
本文介绍了如何使用VS2019和.NET框架创建一个Blazor应用,并将其部署到Azure应用服务。首先,Blazor是一个使用C#而非JavaScript构建交互式Web UI的框架,支持共享服务器和客户端应用逻辑,以及与Docker和Azure集成。任务包括创建Blazor项目,配置Dockerfile为Linux容器,本地测试,发布到Azure Container Registry (ACR),然后在Azure App Service for Container上部署。在部署过程中,需确保Docker设置正确,开启ACR的Admin访问权限,并监控镜像拉取和容器启动日志。
266 0