ASP.NET MVC:窗体身份验证及角色权限打点示例

时间:2021-09-27 04:05:41

  原来使用Forms Authentication进行用户验证的方法是最常见的,但系统地阐发其要领的文章并不久不多见,网上更多的文章都是介绍此中某一部分的使用要领或实现道理,而更多的伴侣则发文询问如何从新到尾完整第实现用户的注册、登录。因此,Anders Liu在这一系列文章中打算通过一个实际的例子,介绍如何基于Forms Authentication实现:

l  用户注册(包孕暗码的加密存储)

l  用户登录(包孕暗码的验证、设置安适Cookie)

l  用户实体替换(使用本身的类型作为HttpContext.User的类型)

  有关Forms Authentication的道理等内容不属于本文的讨论领域,大家可以通过在Google等搜索引擎中输入“Forms Authentication”、“Forms身份验证”、“窗体身份验证”等关键词来检察更多资源。本文仅从实用的角度介绍如何使用这一技术。

不使用Membership

  本文介绍的实现方法不依赖ASP.NET 2.0供给的Membership成果。这主要是因为,如果使用Membership,就必需用aspnet_regsql.exe实用工具配置数据库,否则就得本身写自界说的MembershipProvider。

  如果用aspnet_regsql.exe配置数据库,就会导致数据库中呈现很多我们实际并不需要的表或字段。别的更重要的是,默认的SqlMembershipProvider给很大都据表添加了ApplicationID列,其初衷可能是但愿可以将多个应用措施的用户全部放在一个库里,但又能相互断绝。但实际情况是,每个应用措施都在其自身的数据库中生存用户数据。因此,引入这个ApplicationID无端地在每次查找用户时增加了特别的条件。

  另一方面,如果考虑本身实现一个MembershipProvider,因为事情量巨大,有点得不偿掉。

  但是,如果不使用Membership,也就无法享受ASP.NET 2.0中新增的Login等控件的便当了。

与Forms Authentication相关的配置

  在web.config文件中,<system.web>/<authentication>配置节用于对验证进行配置。为<authentication>节点供给mode="Forms"属性可以启用Forms Authentication。一个范例的<authentication>配置节如下所示:

<authentication mode="Forms">

<forms

loginUrl="login.aspx"

defaultUrl="default.aspx"

protection="All"

timeout="30"

path="http://www.mamicode.com/"

requireSSL="false"

slidingExpiration="false"

enableCrossAppRedirects="false"

cookieless="UseDeviceProfile"

domain=""

/>

</authentication>

  以上代码使用的均是默认设置,换言之,如果你的哪项配置属性与上述代码一致,则可以省略该属性例如<forms />。下面依次介绍一下各类属性:

l  name——Cookie的名字。Forms Authentication可能会在验证后将用户凭证放在Cookie中,name属性决定了该Cookie的名字。通过FormsAuthentication.FormsCookieName属性可以得到该配置值(稍后介绍FromsAuthentication类)。

l  loginUrl——登录页的URL。通过FormsAuthentication.LoginUrl属性可以得到该配置值。当挪用FormsAuthentication.RedirectToLoginPage()要领时,客户端请求将被重定向到该属性所指定的页面。loginUrl的默认值为“login.aspx”,这表白即便不供给该属性值,ASP.NET也会测验考试到站点根目录下寻找名为login.aspx的页面。

l  defaultUrl——默认页的URL。通过FormsAuthentication.DefaultUrl属性得到该配置值。

l  protection——Cookie的掩护模式,可取值包孕All(同时进行加密和数据验证)、Encryption(仅加密)、Validation(仅进行数据验证)和None。为了安适,该属性凡是从不设置为None。

l  timeout——Cookie的过期时间。

l  path——Cookie的路径。可以通过FormsAuthentication.FormsCookiePath属性得到该配置值。

l  requireSSL——在进行Forms Authentication时,与处事器交互是否要求使用SSL。可以通过FormsAuthentication.RequireSSL属性得到该配置值。

l  slidingExpiration——是否启用“弹性过期时间”,如果该属性设置为false,从初度验证之后过timeout时间后Cookie即过期;如果该属性为true,则从上次请求该开始过timeout时间才过期,这意味着,在初度验证后,如果保证每timeout时间内至少发送一个请求,则Cookie将永远不会过期。通过FormsAuthentication.SlidingExpiration属性可以得到该配置值。

l  enableCrossAppRedirects——是否可以将以进行了身份验证的用户重定向到其他应用措施中。通过FormsAuthentication.EnableCrossAppRedirects属性可以得到该配置值。为了安适考虑,凡是总是将该属性设置为false。

l  cookieless——界说是否使用Cookie以及Cookie的行为。Forms Authentication可以给与两种方法在会话中生存用户根据信息,,一种是使用Cookie,即将用户根据记录到Cookie中,每次发送请求时浏览器城市将该Cookie供给给处事器。另一种方法是使用URI,即将用户根据看成URL中特别的盘问字符勾串报给处事器。该属性有四种取值——UseCookies(无论何时都使用Cookie)、UseUri(从不使用Cookie,仅使用URI)、AutoDetect(检测设备和浏览器,只有当设备撑持Cookie并且在浏览器中启用了Cookie时才使用Cookie)和UseDeviceProfile(只检测设备,只要设备撑持Cookie不管浏览器是否撑持,都是用Cookie)。通过FormsAuthentication.CookieMode属性可以得到该配置值。通过FormsAuthentication.CookiesSupported属性可以得到对付当前请求是否使用Cookie通报用户凭证。

l  domain——Cookie的域。通过FormsAuthentication.CookieDomain属性可以得到该配置值。