关于进行Asp.net窗体验证的过程说明

最新推荐文章于 2022-03-11 17:33:42 发布
最新推荐文章于 2022-03-11 17:33:42 发布
阅读量61 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库
原文链接:http://www.cnblogs.com/tenero/archive/2006/07/04/442464.html
本文详细介绍如何使用ASP.NET窗体验证模式保护Web应用。包括配置web.config文件、利用数据库进行用户验证、设置角色访问权限及利用global.asax处理认证请求等步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

标题  关于进行Asp.net窗体验证的过程说明     选择自 kingwkb 的 Blog
关键字  关于进行Asp.net窗体验证的过程说明
出处 
   开发 asp.net 程序 时最常用的验证模式就是基于窗体的身份验证模式,结合 global.asa webconfig 可以 快速实现此种机制。笼统的说,该过程是先建一个文件夹,然后把要保护的页面放进去,接着设置一下web,config,这样就完成了保护。如果你要访问这个文件夹,就会被强制转到预先设定的登录页面,你填上正确的用户名和密码,提交,系统验证后,就把你的登陆信息写到cookie里面,这样你再去访问那个文件夹,就可以进去了,因为你的登陆凭证已经保存到cookie里面了。
    先要建一个asp.net应用程序,这里面至少要有一个登录用的页面,然后修改你的根目录下的web.config,把验证那一块改成Forms验证模式。
  < authentication mode = " Forms " >
       < forms loginUrl = " Login.aspx "  />
  </ authentication >
  < authorization >
      < deny users = " ? "  />
  </ authorization >
     接下来在要保护的文件夹里放一个 web.config ,要注意的是,这个子文件夹里的 web.config 的实际内容不能像根目录下的那个一样多,否则就会出现 配置错误 ,提示 在应用程序级别以外使用注册为 allowDefinition='MachineToApplication' 的节是错误的。导致该错误的原因可能是在 IIS 中没有将虚拟目录作为应用程序进行配置。 具体应该怎么做我也不清楚,总之这个 web.config 只要有下面的内容就 ok 了。
   
< configuration >
   < system.web >
     < authorization >
      <!-- 设置准许访问此文件夹的角色和拒绝的角色,这里准许管理员,老师访问,拒绝学生访问 -->
        < allow roles = " admin "  />
        < allow roles = " teacher "  />
        < deny roles = " student "  />
        <!-- 前提是拒绝匿名用户 !-->
        < deny users = " ? "  />
     </ authorization >
  </ system.web >
</ configuration >
  当然也可以在 顶层 web.config 文件中完成所有的 url 授权,而不是把它们分在各自目录下的 web,config 文件中。 asp.net 也支持这种做法。下面这个 web,config 文件,放在应用程序根目录下。
 如下:此设置是保护admin文件夹下的内容,拒绝匿名用户访问
 
< location path = " admin " >
   < system.web >
    < authorization >
      < deny users = " ? " ></ deny >
    </ authorization >
    </ system.web >
</ location >
   好了,设置完了,下面就开始为我们的窗体验证写代码了
   有两种方式,第一种,当网站的用户不是很多的时候,可以 把用户和密码放到 web.config 里。办法就是在根目录下的 web.config 文件中加入一个 credentials 节,里面写上用户名和密码,这个是包含在 forms 节里面的。
   如下所示:
< authentication mode = " Forms "  >
    < forms loginUrl = " login.aspx " >
      < credentials passwordFormat = " Clear " >
       < user name = " admin "  password = " admin " />
      </ credentials >
    </ forms >
</ authentication >
   在此种情况下  配合使用 System.Web.Security.FormsAuthentication.Authenticate(string name,string password)验证credentials节中指定的用户名和密码,存在就返回 true。


  下面着重介绍第二种方法,通过数据库读取用户名密码进行验证。
    1:首先在数据库里建立三张表: Users(UserID,UserName,UserPwd)---存放用户信息
                              Roles(RoleID,RoleName)------存放角色名称
                              User_Role(UserID,RoleID)-----用户和角色的中间表,使头两张表成为多对多关系

    2:然后在登陆页面的登陆按钮点击事件中加入如下逻辑
 
if  (Page.IsValid) 
        {
            if(Users.Authenticate(txtUsername.Text, txtPassword.Text))//数据库验证方法,代码略
            {
                 //验证后导向初始页
                   FormsAuthentication.RedirectFromLoginPage( txtUsername.Text, chkRemember.Checked ;
               }
        }
    在此也可以用   FormsAuthentication.SetAuthCookie(email.Text, RememberCheckbox.Checked);该方法不进行页面导向,而是停留在本页,然后由自己选择导向的页面。

    3:然后就要用到global.asax文件下的 Application_AuthenticateRequest 事件了,此事件在每次访问 aspx 文件都会触发。
在其中加入如下代码,功能见注释 :
   
protected  void  Application_AuthenticateRequest(Object sender, EventArgs e)
         {
            
            if (Request.IsAuthenticated == true//如果验证了用户,则为 true,否则为 false
            {  
                String[] roles;
                // 首次登陆,还没有存入角色cookies
                if ((Request.Cookies["userlroles"== null|| (Request.Cookies["userlroles"].Value == ""))    
                {
                    // 此时调用方法,访问数据库中的记录获得用户角色,并存入cookies
                    roles =(String[]) Users.GetRoles(User.Identity.Name).ToArray(typeof(String));
                    String roleStr = "";
                    foreach (String role in roles)     //一个用户会有多种角色,以一个字符串表示,用;隔开
                    {
                        roleStr += role;
                        roleStr += ";";
                    }
                    //创建cookies票据
                    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
                        1,                              //版本
                        Context.User.Identity.Name,     //登陆时候存入的标识用户的用户名
                        DateTime.Now,                   // 发布时间
                        DateTime.Now.AddHours(1),       // 过期时间
                        false,                          // 是否持久
                        roleStr                         // 角色字符串
                        );

                    // 加密票剧
                    String cookieStr = FormsAuthentication.Encrypt(ticket);
                    //发送到客户端,起名userroles
                    Response.Cookies["userroles"].Value = cookieStr;//必须加密
                    Response.Cookies["userroles"].Path = "/";
                    Response.Cookies["userroles"].Expires = DateTime.Now.AddMinutes(1);
                }
              else 
              {
                    // 已存在,读取,解密
         FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(Context.Request.Cookies["userroles"].Value);
                    //把角色字符添加到list里
                 ArrayList userRoles = new ArrayList();
               foreach (String role in ticket.UserData.Split( new char[] {';'} )) 
               {
                    userRoles.Add(role);
                 }
                 roles = (String[]) userRoles.ToArray(typeof(String));
                }
                // 把此用户的角色存到内存中,可以运用User.IsInRole()方法进行检验用户角色
                // 也可以使用实现IPrincipal接口的类,自定义赋值给Context.User
                Context.User= new GenericPrincipal(Context.User.Identity, roles);
               }
        }
   4:然后添加读取验证用户是否存在的访问数据库代码,和获得用户角色的代码。
      详细码略,这里主要争对三张表写出获得用户角色的存储过程
    
CREATE PROCEDURE User_GetUserRolesByUsername 
(
    @Username  nvarchar( 50 )
)
AS
select Roles.RoleName
from Roles
join Users on Users.Username = @Username
join User_Role on User_Role.UserID = Users.UserID
where Roles.RoleID = User_Role.RoleID
GO
   至此,我们就完成了一般性的asp.net窗体验证的功能。

转载于:https://www.cnblogs.com/tenero/archive/2006/07/04/442464.html

ASP.NET 窗体验证
04-08
实验名称:ASP.NET 窗体验证 一 实验要求: (1)能理解客户端和服务器端验证。 (2)会熟练运用ASP.NET验证控件。 (3)会实现分组验证。 二 实验内容: 1. 设计并实现一个带验证控件的用户注册页面 要求如下: (1)...
ASP.NET窗体身份验证详解
10-23
在使用窗体身份验证时,开发者需要注意保护用户数据安全,确保登录过程中使用的传输层安全,防止敏感信息在传输过程中被截获。此外,应定期对系统进行安全审核,以发现和修复潜在的安全漏洞。 ***窗体身份验证...
asp.net中的窗体身份验证(完整篇之二:asp.net窗体身份验证过程
没有标题,只有问题
05-28 4541
    在《asp.net中的窗体身份验证(完整篇之一:创建asp.net窗体身份验证方式) 》中介绍了如何通过修改web.config文件来创建窗体身份验证。修改完web.config文件之后,网站就可以使用窗体身份验证方式来验证用户身份了。那么,整个身份验证过程是怎么样的呢?     前面说过,在asp.net中,身份验证过程分为两部分,一部分是IIS中的身份验证,只有通过了IIS
asp.net中的窗体身份验证验证HTML文件)
没有标题,只有问题
01-07 3880
    在前面的几篇文章中介绍了asp.net窗体身份验证,这种身份验证方式可以让通过验证的用户访问指定的目录,而没有通过验证的用户不能访问该目录下的网页。    但是,有一种例外,就是目录中的html文件例外。例如,在《asp.net中的窗体身份验证(最简单篇)》中介绍的,除了登录网页之外,所有网页都必须在登录之后才能访问,但如果在网站中添加一个HTMLPage.htm文件,访问该文件是不
Web网络编程第一次试验:ASP.NET4.5标准控件和窗体验证
sjx3161的博客
03-02 3852
Web网络编程第一次试验:ASP.NET4.5标准控件和窗体验证前言一、实验目的二、实验环境三、实验内容四、代码及截图五、实验总结 前言 为了帮助同学们完成痛苦的实验课程设计,本作者将其作出的实验结果及代码贴至优快云中,供同学们学习参考。如有不足或描述不完善之处,敬请各位指出,欢迎各位的斧正! 一、实验目的 1.理解ASP.NET 页面事件处理流程; 2.掌握ASP.NET 标准控件的应用; 3.理解客户端和服务器端验证; 4.掌握ASP.NET验证控件的使用。 二、实验环境 Visual Studio
ASP.NET编程知识】ASP.NET窗体身份验证详解.docx
05-18
ASP.NET 窗体身份验证详解 ASP.NET 窗体身份验证ASP.NET 中的一种身份验证机制,它可以帮助开发者保护网站的安全性并防止未经授权的访问。窗体身份验证ASP.NET 提供的一种身份验证类型,其他类型包括 Windows...
asp.net窗体认证总结
10-20
ASP.NET窗体认证是ASP.NET框架中的一种常用的身份验证机制。它可以保护网站的安全,防止未经授权的访问。下面是ASP.NET窗体认证的详细解释: 身份验证机制 在ASP.NET中,身份验证机制可以分为三种:Windows身份...
asp.net中的窗体身份验证(最简单篇)
01-02
在创建网站中,常常会使用到身份验证asp.net中内置了几种身份验证的方式,如Windows、Froms、Passport等。这几种身份验证的方式各有不同。...但是,在asp.net时代,这个过程就给大大的减化了,不再需要在每
窗体验证
weixin_34174105的博客
04-16 170
不管是动态网站,还是其它B/S结构的系统,都离不开表单 表单做为客户端向服务器提交数据的载体担当相当重要的角色. 这就引出了一个问题,提交的数据合法吗?摆在我们面前的问题就是验证这些数据 保证所提交的数据是合法的.所以,我们写了一个大堆的验证函数.当我们开始新的一个 项目的开发时,我们又得写一大堆的验证函数,然后再调试这一大堆的函数... 本文将介绍一种方法来提高我的代码的可重用性,提高我们的开...
解释:ASP.NET 2.0 中的窗体身份验证
诸子百家
08-31 1005
 ASP.NET 2.0 版摘要:本教程阐释 ASP.NET 2.0 版中窗体身份验证的工作机制;阐释 IIS 和 ASP.NET 身份验证如何协作,以及 FormsAuthenticationModule 类的角色与操作。本页内容 目标
asp.net中的窗体身份验证(完整篇之一:创建asp.net窗体身份验证方式)
没有标题,只有问题
05-27 5853
    在《asp.net中的窗体身份验证(最简单篇) 》中介绍了使用FormsAuthentication.SetAuthCookie()方法创建身份验证票据的方法,事实上,这是一个使用缺省的身份验证票据的方法。在asp.net中,Forms身份验证的方式是在用户登录时创建一个身份验证票,然后将这个身份验证票存放在Cookie中,以后整个网站都可以通过这个Cookie来判断用户是否已经登录。如果
asp.net中的窗体身份验证(不同的角色访问不同的目录)
没有标题,只有问题
01-06 7224
    在《asp.net中的窗体身份验证(最简单篇)》说明了如何让通过了身份验证的用户访问网站,但是该方法中有一个缺点,就是访问整个网站都需要用户身份验证。因此,在《asp.net中的窗体身份验证(分目录验证篇)》中介绍了如何让通过了身份验证的用户访问特定的目录,例如网站根目录中的网页是任何用户都能访问的,而admin目录则只能让通过身份验证的用户访问。这种方法可以解决大部分网站的身份控制,但是
登录窗体验证账号密码
MkCrawling's Zone
10-14 1363
主 public partial class frmLogin : Form     {         public frmLogin()         {             InitializeComponent();         }         private void btnOK_Click(object sender, EventArgs e)  
Asp.Net Forms验证原理图解
城市蜗牛
12-01 1520
做了好几年的WEB 系统开发,也都用的是WEB FORM 验证,最初是怎么用这种方式都忘了!因为最近要给学生讲课,正好同事也提起这个问题。突然间有点茫然,这好几年用了下来,从没有去想过是怎么回事,或是没有深入地想。看来学习的方法还是有很大的问题的。正好利用闲暇时间查了一下资料结合自己的理解画了图。可能理解或画的不对,请大家指正。    画得比较乱。大致是这个意思。再来看
ASP.NET内置的6种验证控件的使用
热门推荐
weixin_46067990的博客
03-11 1万+
ASP.NET控件验证 ASP.NET内置的验证控件有以下6种: RequiredFieldValidator控件 CompareValidator控件 RangeValidator控件 RegularExpressionValidator控件 CustomValidator控件 ValidationSummary控件 1、RequiredFieldValidator控件 验证控件用来验证输入文本中的信息内容是否为空 就是在运行网站注册、登陆的时候,需要输入用户名,当你没有输入的时候,判断为空,然后返回一个
ASP.NET Forms验证详解
moonpure的专栏
04-25 5664
创建网站中,常常会使用到身份验证asp.net中内置了几种身份验证的方式,如Windows、Froms、Passport等。这几种身份验证的方式各有不同。一般来说,网站的身份验证方式都会经过以下几个步骤:     1、输入用户名和密码,单击确定按钮。     2、在后台判断用户名和密码是否正确,如果错误返回提示;如果正确,进入可访问的页面。       在ASP时代,通常
深入理解ASP.NET窗体验证及实现技巧
资源摘要信息:"ASP.NET 窗体验证" ...以上内容就是对ASP.NET窗体验证实验的全面知识点解析,通过本实验的学习,学生将能够掌握ASP.NET中的窗体验证机制,并能够独立设计和实现复杂的用户输入验证过程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值