本文详细介绍了ASP.NET中的Forms身份验证,包括SetAuthCookie()和SignOut()方法的使用,以及如何通过web.config配置权限访问。重点讲解了Forms验证在不同场景下的应用,如保护特定页面和目录,以及授权规则的设置。此外,还讨论了FormsAuthentication类的关键方法,如RedirectFromLoginPage(),以及涉及的Cookie操作。最后提到了身份验证票据的加密、过期和重定向逻辑。
最简单的Forms验证实现方法:
FormsAuthentication.SetAuthCookie()方法,传递一个登录名即可
FormsAuthentication.SignOut()方法退出
Forms验证可以保护受限制的页面比如有些页面未登录不能访问或者有的人没有权限访问
这些东西在web.Config中都可以配置
比如 有一个名字为MyInfo.aspx的页面要求这个页面的访问者必须为已经登陆的用户
可以这样子配置
<location path="MyInfo.aspx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
但是这样子写如果页面多的话会导致代码过于冗杂,所以可以在代码设计初期,把有相同权限的功能模块
放在一起,所以forms验证可以在Web.config中可以配置一个目录,将多个页面放在同一个目录里,
<location path="Admin">
<system.web>
<authorization>
<allow roles="Admin"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
需要注意的是 allow和deny的顺序不能写错了,UrlAuthorizationModule将按照这个顺序依次判断的
如果这个页面只能某一类人访问,则需要在最后一条规则设置 <deny users="*"/>
同样的我们可以在allow和deny中指定多个用户,使用user,deny属性时记得要用逗号分隔开用户的列表,
问号?表示的匿名用户(不需要),星号*表示的所有用户
froms的身份验证是通过cookie来维持的,而且他的cookie是加密的
AuthenticateRequest事件一般在global.asax文件中,当一个用户进行身份验证的时候,HttpApplication对象就会触发
AuthenticateRequest事件,也就是意味着每次对应用程序进行页面请求的时候都会触发这个事件,实际上是调用相应的身份验证
模块来处理身份验证的,对于Forms而言,即使从加密的cookie中提取用户的信息并存到Identity和IPicioal
AuthorizeRequest 事件是在AuthenticateRequest事件中通过了身份验证的时候才会触发的,AhtorizeRequest事件调用相应的授权模块来检查用户是否被授权访问他们的请求资源
在ASP.NET中内置的授权模块主要有两个:FileAuthorizationModule和UrlAuthorizationModule。他们也实现了IHttpModule接口。这些模块可以参照所试用的身份验证类型来决定到底采用哪个授权模块:
如果试用的是Windows身份验证,那么在授权检查的时候就会使用FileAuthoriz
最低0.47元/天 解锁文章
扫一扫
470
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
