ASP.NET MVC form验证

ASP.NET Core网站安全配置及登录流程

最新推荐文章于 2025-09-12 17:02:52 发布

转载最新推荐文章于 2025-09-12 17:02:52 发布 · 62 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/jianjialin/archive/2011/07/06/2099270.html

文章标签：

#测试 #xhtml #c#

本文详细介绍了ASP.NET Core中使用Forms验证进行身份验证的方法，包括配置拒绝匿名用户、开放特定页面以及实现登录功能。同时，阐述了如何在登录成功后设置cookie，并通过代码示例展示了登录页面的实现方式、登录处理方法、退出登录功能以及如何获取自定义数据。

网站结构

webconfig

设置为form验证, 并拒绝所有的匿名用户

    <authentication mode="Forms">

      <forms loginUrl="~/Account/Index" timeout="2880" path="/" />

    </authentication>

    <authorization>

      <deny users="?"/>

    </authorization>

如果我们徐凯开放首页比如说Home/Index,那么做如下配置. 如果是Home文件夹下所有的页面都能访问, 那么 path=”Home”即可
<location path="Home/Index">
    <system.web>
      <authorization>
        <allow users="*" />
      </authorization>
    </system.web>
  </location>

cookie

启动程序, 来到登录页面. 如果登录成功, 那么我们需要写入cookie.

登陆页面

<%@ Page Language="C#" Inherits="System.Web.Mvc.ViewPage<mvc安全验证.Models.User>" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml" >

<head runat="server">

    <title>Index</title>

</head>

<body>

    <div>

         <% using( Html.BeginForm()){%>

         登录

         <%: Html.TextBoxFor(m => m.UserName, new { @class = "log" })%>

         <%: Html.TextBoxFor(x => x.RealName) %><br />

         <input type="submit" value="login" />

         <%};%>

    </div>

</body>

</html>

处理方法

[HttpPost]

        public ActionResult Index(Models.User model) {

            if (model.UserName == "admin")

                //创造票据

                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(model.UserName, false, 1);

                //加密票据

                string ticString = FormsAuthentication.Encrypt(ticket);

                //输出到客户端

                Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, ticString));
注.. 记得设置httpcookie为httponly

                //跳转到登录前页面

                return Redirect(HttpUtility.UrlDecode( Request.QueryString["ReturnUrl"]));

            return View();

退出.

通过 new FormsAuthenticationTicket(model.UserName, false, 时长); 设置.AXPXAUTH过期时长. 但是如果 new HttpCookie(FormsAuthentication.FormsCookieName, ticString) 这个cookie对象没有设置过期时间, 那么上面设置的时长再长, cookie的生命周期还是浏览器的生命周期.

public ActionResult Logout() {

            FormsAuthentication.SignOut();

            return Redirect(FormsAuthentication.LoginUrl);

这样, 在默认首页 home/index 中可以得到

八卦一下. User的值是在哪里获得的呢?我们加载进来一个DLL, 自定义的httpmodulehttp://www.cnblogs.com/jianjialin/archive/2011/06/14/2080880.html

跟踪一下. 发现在application_AuthenticateRequest事件里面, 我们可以获得User对象了.

代码下载: 群共享搜索 mvc安全验证

cookie内放置自定义数据

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(2, identityName, DateTime.Now, DateTime.Now.Add(overdue), true, userData);

获取自定义数据

ViewBag.UserData = ((FormsIdentity)HttpContext.User.Identity).Ticket.UserData;

转载于:https://www.cnblogs.com/jianjialin/archive/2011/07/06/2099270.html