Form身份验证基本原理

最新推荐文章于 2018-02-10 13:56:00 发布
最新推荐文章于 2018-02-10 13:56:00 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: C#
本文详细介绍了ASP.NET中Forms身份验证的工作原理与实现步骤。包括配置文件web.config的设置、登录页面Login.aspx的处理逻辑、全局文件Global.asax的身份认证事件及如何在页面中判断用户角色。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载自:http://blog.youkuaiyun.com/lulu_jiang/article/details/5661857


先说说Form身份验证思路:

假设用户要浏览需要权限的页面,此时,安全机制先启动,检查当前用户请求是否持有用户票据的Cookie

如此Cookie存在:解析Cookie中的票据信息,获得用户角色,创建用户标识

否则:认为用户无权浏览该页面,跳转至登入页面,登入成功后重定向到所请求页面^-^

 

解释下我的文件目录:

-> Admin文件(该文件目录下内容用户必登入且角色为"Admin"才可浏览)

              -> Admin.aspx

-> User.aspx(该文件只要登入可浏览)

-> Login.aspx(用户登入页面,未登入可浏览)

-> Global.asax

-> web.config

 

1.web.config文件

[xhtml]  view plain  copy
  1. <configuration>  
  2.   
  3.   <!-- 配置目录"Admin"下的页面浏览权限 -->  
  4.   <location path="Admin">  
  5.     <system.web>  
  6.       <authorization>  
  7.         <!-- 拒绝匿名用户访问 -->  
  8.         <deny users="?" roles="User"/>  
  9.         <!--  
  10.             <allow roles="Admin"/>  
  11.             <deny users="?"/>  
  12.             原先这样配置但导致角色"User"也可以访问,不知为何?  
  13.         -->  
  14.       </authorization>  
  15.     </system.web>  
  16.   </location>  
  17.   
  18.     <system.web>  
  19.           <!--  
  20.             通过 <authentication> 节可以配置 ASP<a href="http://lib.youkuaiyun.com/base/dotnet" class='replace_word' title=".NET知识库" target='_blank' style='color:#df3434; font-weight:bold;'>.NET</a> 用来   
  21.             识别进入用户的  
  22.             安全身份验证模式。   
  23.         -->  
  24.      <authentication mode="Forms">  
  25.       <forms loginUrl="Login.aspx" defaultUrl="User.aspx" name=".LoginFormsTicket" path="/" timeout="40" protection="All">  
  26.         <credentials passwordFormat="Clear">  
  27.           <user name="lulu" password="66"/>  
  28.         </credentials>  
  29.       </forms>  
  30.     </authentication>  
  31.       
  32.     <!-- 配置网站页面浏览权限 -->  
  33.     <authorization>  
  34.       <!-- 拒绝:?(匿名用户) *(所有用户) -->  
  35.       <deny users="?"/>  
  36.     </authorization>  
  37.   
  38.     </system.web>  
  39. </configuration>  

 

再补充下对Forms身份验证配置文件各项的说明^^:

[c-sharp]  view plain  copy
  1. /* 
  2. <forms>节点中的属性含义: 
  3. name:定义用于存储用户票据的唯一Cookie名 
  4. loginUrl:将用户从定位到哪个页面登入 
  5. defaultUrl:当用户登入成功后默认跳转页面 
  6. timeout:设置用于存储用户票据的唯一Cookie的持续时间(分钟),此时间相对,每次用户进行验证,该Cookie期限被重新设置 
  7. path:设置Cookie的保存路径 
  8. protection有四个值: 
  9.     Encryption:对Cookie内容加密 
  10.     Validation:向Cookie内容添加MAC(消息验证代码),以便服务器判断Cookie是否被篡改 
  11.     None:禁用加密和篡改检查 
  12.     All:同时启用加密和篡改检查 
  13. */  

 

2.Login.aspx页面

[c-sharp]  view plain  copy
  1. //单击登入按钮事件处理  
  2.     protected void login_Click(object sender, EventArgs e)  
  3.     {  
  4.         //通过和配置文件<credentials>节点中定义的用户信息比对,验证用户名密码是否合格  
  5.         //合格  
  6.         if (FormsAuthentication.Authenticate("lulu""66"))  
  7.         {  
  8.             //创建用户身份验证票据  
  9.             FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(  
  10.                 1,                                        //版本信息  
  11.                 "lulu",                                   //票据中保存的用户标示  
  12.                 DateTime.Now,                             //保存票据的Cookie创建时间  
  13.                 DateTime.Now.AddMinutes(40),              //保存票据的Cookie过期时间  
  14.                 false,                                    //保存票据的Cookie不永久保存  
  15.                 "Admin",                                   //票据中的用户自定义字段,此处用于存放当前用户的角色信息  
  16.                 FormsAuthentication.FormsCookiePath       //保存票据的Cookie的保存路径(在Web.config文件中配置)  
  17.             );  
  18.   
  19.             //创建一用于保存用户身份验证票据的Cookie  
  20.             //该Cookie的名在配置文件中定义  
  21.             //该Cookie的值为加密(必须加密!)的数据票据  
  22.             HttpCookie ticketCookie = new HttpCookie(FormsAuthentication.FormsCookieName, FormsAuthentication.Encrypt(ticket));  
  23.   
  24.             //将保存有用户身份验证的票据Cookie加入响应流  
  25.             Response.Cookies.Add(ticketCookie);  
  26.             //返回导致重定向的原始页面请求页面  
  27.             Response.Redirect(FormsAuthentication.GetRedirectUrl("lulu",false), true);  
  28.         }  
  29.         else  
  30.         {  
  31.             Response.Write("用户名密码验证失败!");  
  32.         }  
  33.     }  

 

3.Global.asax文件

[c-sharp]  view plain  copy
  1. //在安全模块建立起当前用户的有效的身份时,该事件被触发。在这个时候,用户的凭据将会被验证  
  2.     void Application_AuthenticateRequest(object sender, EventArgs e)  
  3.     {  
  4.         //获取当前请求中保存有用户身份票据的Cookie  
  5.         HttpCookie ticketCookie = Request.Cookies[FormsAuthentication.FormsCookieName];  
  6.   
  7.         //如该Cookie不为空,如存在身份票据,解析票据信息,创建用户标识,获取用户角色  
  8.         if (ticketCookie != null)  
  9.         {  
  10.             //获取用户票据  
  11.             FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(ticketCookie.Value);  
  12.   
  13.             string[] roles = ticket.UserData.Split(',');  
  14.               
  15.             //创建用户标识  
  16.             FormsIdentity identity = new FormsIdentity(ticket);  
  17.               
  18.             //创建用户身份主体信息  
  19.             System.Security.Principal.GenericPrincipal user = new System.Security.Principal.GenericPrincipal(identity, roles);  
  20.   
  21.             //把由用户标识,角色信息组成的户身份主体信息保存在User属性中  
  22.             HttpContext.Current.User = user;  
  23.         }  
  24.     }    

 

4.在User.aspx等页面中判断

[c-sharp]  view plain  copy
  1. //判断用户是否验证  
  2.  if (Page.User.Identity.IsAuthenticated)  
  3.  { }  
  4.   
  5.  //确定当前用户是否属于自定角色  
  6.  if (Page.User.IsInRole("Admin"))  
  7.  { }  


【商城实战(82)】区块链赋能用户身份验证:从理论到源码实践
邓邓子的博客
03-27 987
本文聚焦电商商城用户身份验证,针对传统方式弊端,引入区块链技术。阐述其去中心化等特性,设计基于 uniapp、Element plus、SpringBoot 及 MyBatis - plus 的验证方案,涵盖架构、注册与验证流程及实现源码。分析区块链身份验证在安全性上防篡改、降泄露风险,便捷性上简化流程、支持跨平台登录的优势,也探讨了性能、标准化、合规性及隐私保护面临的挑战。展望未来,区块链将在电商身份验证领域持续优化,拓展应用场景。
Forms身份验证 知识总结
lihao199611287011的博客
07-25 2079
最简单的Forms验证实现方法: FormsAuthentication.SetAuthCookie()方法,传递一个登录名即可 FormsAuthentication.SignOut()方法退出 Forms验证可以保护受限制的页面比如有些页面未登录不能访问或者有的人没有权限访问 这些东西在web.Config中都可以配置 比如 有一个名字为MyInfo.aspx的页面要求这个页面的访问者必须为已...
Forms身份验证
weixin_34152820的博客
06-29 453
IIS 身份验证 ASP.NET 身份验证分为两个步骤。首先,Internet 信息服务 (IIS) 对用户进行身份验证,并创建一个 Windows 令牌来表示该用户。IIS 通过查看 IIS 元数据库设置,确定应该对特定应用程序使用的身份验证模式。如果 IIS 配置为使用匿名身份验证,则为 IUSR_MACHINE 帐户生成一个令牌并用它表示匿名用户。然后,IIS 将该令牌传递给 ...
细说ASP.NET身份认证
weixin_30270889的博客
04-16 344
细说ASP.NET身份认证 阅读目录 开始 ASP.NET身份认证基础 ASP.NET身份认证过程 如何实现登录与注销 保护受限制的页面 登录页不能正常显示的问题 认识Forms身份认证 理解Forms身份认证 实现自定义的身份认证标识 在多台服务器之间使用Forms身份认证 在客户端程序中访问受限页面 用户登录是个很常见的业务需求,在ASP.NE...
Forms身份验证基本原理
朝圣的魔鬼
02-21 4667
要采用Forms身份验证,先要在应用程序根目录中的Web.config中做相应的设置:              标签中的name表示指定要用于身份验证的HTTP Cookie(即指定Cookie名字),默认值是.ASPXAUTH .ASPXAUTH这个使用来决定用户是否被认证了,即验证用户 采用此种方式验证用户后,以此用户的信息建立一个FormsAuthentic
asp.net基于Form身份验证的相关资料,覆盖面比较全
07-15
ASP.NET中的Form身份验证是一种广泛使用的用户认证机制,它允许开发者构建安全的Web应用程序。本文将深入探讨基于Form身份验证的原理、配置以及在实际应用中的实现方式。 1. **Form身份验证概述** - Form身份...
浅谈asp.net Forms身份验证详解
01-20
首先,了解Forms身份验证基本原理。当用户尝试访问受保护的资源时,如果尚未登录,服务器会将用户重定向到指定的登录页面(如Login.aspx)。在登录页面,用户输入用户名和密码,系统会验证这些凭据的有效性。验证...
使用表单身份验证的Windows身份验证
04-11
首先,理解这两种身份验证基本原理是至关重要的。Windows身份验证是透明的,用户通常不需要输入用户名和密码,系统会自动使用操作系统上下文进行验证。表单身份验证则是通过用户提交的表单数据(如用户名和密码)...
实例ASP.NET基于表单的角色身份验证
04-22
在ASP.NET中,基于表单的身份验证Form-Based Authentication)是一种常见的用户认证方式,它允许开发者创建自定义登录页面来验证用户凭证,而不是依赖于服务器的默认机制。这种验证方式非常适合那些需要自定义用户...
form身份验证
weixin_33994444的博客
02-10 306
asp.net 自带的身份验证form身份验证forms身份验证:身份登录,权限验证,传值。 1.登录:      验证登录是否正确,用FormsAuthentication.setAuthcookie(已验证的用户名称,是否持久)来创建一个验证的票据,用于加密存储用户登录名<Encrypt()函数加密>,存在context.user 中,并更具加密创建一个cookie.   ...
居民身份证验证原理
wozengcong的专栏
01-21 2365
程序要求:制作包含身份证校验函数的动态链接库 视频讲解:http://blog.fishc.com/2698.html 参考源代码:http://bbs.fishc.com/thread-33959-1-1.html 程序截图:   算法参考资料: 我国现行使用公民身份证号码有两种尊循两个国家标准,〖GB 11643-1989〗和〖GB 11643-19
使用Session作为身份识别的问题
weixin_33853794的博客
03-31 191
公司网站中的管理功能模块需要进行身份识别,之前使用的是以前在asp中经常用到的session标识的方式,在本机测试环境下也没有任何问题,但是当站点传到服务器上以后,就出现登陆完,很短时间后就要重新进行身份验证,百思不得其解。经过查询资料发现,在asp.net中,session的资源是可以被回收的,当时整个IIS的资源使用量达到设置的值后,asp.net就会将系统资源进行回收,很可能在这个时候ses...
Form表单身份验证例子
.NET寺庙
02-29 1663
http://topic.youkuaiyun.com/t/20050830/10/4239405.html(转)步骤:一直对forms验证中的角色很模糊,不知道怎么搞,昨天晚上仔细看了下csdn的杂志,心里稍微有点底,今天早晨一上csdn,就看到思归大人回的一篇贴,是关于asp.net中的forms验证roles,地址是:http://www.codeproject.com/aspnet/forms
Form身份验证
凯少丶Gentl
09-02 414
--后台 //为提供的用户名创建一个身份验证票证,并将该票证添加到响应的 Cookie 集合中或 URL 中(如果使用的是无 Cookie 身份验证)。          // 参数:          //   userName:         //     已验证的用户的名称。 这不必映射到 Windows 帐户。         //         //   createPe
Form身份验证
wangjiangzhe的专栏
08-26 402
一 asp.net 2.0的基于Form身份验证(手机项目无关Cookie)与Microsoft提倡的设计布局   启动基于Form身份验证模式,最大的意义在于限制匿名用户的访问范围。方法步骤为:(1)       配置根目录下的web.config文件,设置authentication节的属性mode为“Form”。即配置此文件为           ……      
基本用户身份验证
yinxing2006的专栏
08-04 787
package lib;public class Constants{        //用于检测用户合法性的表(即用户帐户信息表)    public static final String userInfoTableName = "userInfo";    public static final String userNameFiledName = "userName";    public
Forms身份验证基本原理
weixin_34088838的博客
04-24 155
&lt; DOCTYPE html PUBLIC -WCDTD XHTML StrictEN httpwwwworgTRxhtmlDTDxhtml-strictdtd&gt; 一 身份验证 要采用Forms身份验证,先要在应用程序根目录中的Web.config中做相应的设置: &lt;authentication mode="forms"&gt;      &lt;fo...
ASP.NET Forms身份认证详解:原理、过程和实现
ASP.NET 表单身份验证 ASP.NET 表单身份验证是 ASP.NET 中的一种常见身份验证机制,通过对用户的身份进行验证,来控制对资源的访问。下面是 ASP.NET 表单身份验证的详细知识点: 一、ASP.NET 身份验证基础 在 ASP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值