快捷導(dǎo)航

淺談asp.net Forms身份驗(yàn)證詳解

更新時間：2016年12月06日 11:35:14 作者：Qi Fei

這篇文章主要介紹了淺談asp.net Forms身份驗(yàn)證詳解，這種方法可以輕松的保持用戶的登錄狀態(tài)（如果用戶想這樣），便捷的用戶授權(quán)配置，增強(qiáng)的安全性，有興趣的可以了解一下。

在做網(wǎng)站的時候，都會用到用戶登錄的功能。對于一些敏感的資源，我們只希望被授權(quán)的用戶才能夠訪問，這讓然需要用戶的身份驗(yàn)證。對于初學(xué)者，通常將用戶登錄信息存放在Session中，筆者在剛接觸到asp.net的時候就是這么做的。當(dāng)我將用戶信息存在在Session中時，常常會遇到Session丟失導(dǎo)致用戶無法正常訪問被授權(quán)的資源，保持用戶登錄狀態(tài)時的安全性問題，無休其實(shí)，在asp.net中，我們有更好的解決方案，那就是通過Forms身份驗(yàn)證，從而對用戶進(jìn)行授權(quán)，這種方法可以輕松的保持用戶的登錄狀態(tài)（如果用戶想這樣），便捷的用戶授權(quán)配置，增強(qiáng)的安全性等好處。廢話不再多說，下面我們來做一個簡單的用

在做例子之前，我們先定義如下用戶類，類名為SampleUser，代碼如下：

public partial class SampleUser
  {
    string username;
    public string UserName
    {
      get { return username; }
      set { username = value; }
    }

    string userpwd;
    public string UserPWD
    {
      get { return userpwd; }
      set { userpwd = value; }
    }

    public override bool Equals(object obj)
    {
      SampleUser other = obj as SampleUser;
      if (other == null || other.UserName != this.UserName)
        return false;
      return true;
    }
  }

  public partial class SampleUser
  {
    public static List<SampleUser> userList = new List<SampleUser> {
      new SampleUser() { UserName = "01", UserPWD = "123"}, 
      new SampleUser() { UserName = "02", UserPWD = "123" }, 
      new SampleUser() { UserName = "03", UserPWD = "123" }, 
      new SampleUser() { UserName = "04", UserPWD = "123" }, 
    };

    public static SampleUser GetUser(string userName)
    {
      return userList.Find(u=>u.UserName == userName);
    }
  }

在類SampleUser中，定義了UserName和UserPWD兩個字段，分別用來存儲用戶的登錄名和密碼信息。在SampleUser類的另一部分中，我們提供了一個用戶的靜態(tài)類表，用來代替存儲在數(shù)據(jù)庫中的用戶信息，提供一個方法GetUser，用來獲取用戶信息。

在這個例子中，我們演示用戶必須進(jìn)行登錄才能訪問網(wǎng)站的資源，如果沒有登錄，則將用戶導(dǎo)航到login.aspx頁面中。

第一步，在web.config中添加配置信息，說明網(wǎng)站要使用Forms身份驗(yàn)證，并指定登錄頁面和默認(rèn)登錄成功后的跳轉(zhuǎn)頁面，然后指定拒絕未登錄用戶的訪問，代碼如下：

<authentication mode="Forms">
   <forms loginUrl="~/Login.aspx" defaultUrl="~/Default.aspx" />
  </authentication>
  <authorization>
   <deny users="?"/>
  </authorization>

完成這一步后，我們再打開Default.aspx頁面，在沒有登錄的情況下，頁面會被導(dǎo)航到Login.aspx頁面，我們的第一步的目的已經(jīng)達(dá)到了。

第二步，完成Login.aspx的頁面邏輯。在頁面中添加兩個TextBox控件，用來輸入用戶名和密碼；添加一個CheckBox控件，用來選擇是否保持登錄狀態(tài)；添加一個Button控件，響應(yīng)用戶的登錄操作。相應(yīng)的代碼如下：

<fieldset>
    <legend>用戶登陸</legend>
    <div>
      用戶名：<asp:TextBox ID="txtUserID" runat="server" Width="150" /><br /><br />
      密&nbsp;&nbsp;&nbsp;碼：<asp:TextBox ID="txtUserPWD" runat="server" TextMode="Password" Width="150" /><br /><br />
      <asp:CheckBox ID="cbSaveUserName" runat="server" Checked="true" Text="保持登錄狀態(tài)" />
    </div><br />
    <asp:Literal ID="ltMessage" Text="" runat="server" Visible="false" />
    <br />
    <p>
      <asp:Button ID="btnLogin" Text="登陸" runat="server" OnClick="btnLogin_Click" />
    </p>
  </fieldset>

接下來完成后臺代碼，添加登陸按鈕的后臺處理方法：對用戶名和密碼進(jìn)行驗(yàn)證，如果驗(yàn)證通過，則為用戶名創(chuàng)建一個身份驗(yàn)證票據(jù)，并將其添加到響應(yīng)的Cookie中。代碼如下：

protected void btnLogin_Click(object sender, EventArgs e)
    {
      string userID = this.txtUserID.Text.Trim();
      string userPWD = this.txtUserPWD.Text.Trim();

      SampleUser userEx = SampleUser.GetUser(userID);
      if (userEx == null)
      {
        ltMessage.Text = "用戶不存在！";
        ltMessage.Visible = true;
        return;
      }

      if (userEx.UserPWD != userPWD)
      {
        ltMessage.Text = "用戶名或密碼錯誤，請重新輸入！";
        ltMessage.Visible = true;
        return;
      }

      //添加票據(jù)，并將用戶導(dǎo)航到默認(rèn)頁面
      FormsAuthentication.RedirectFromLoginPage(userEx.UserName, this.cbSaveUserName.Checked);
    }

完成這一步后，我們就已經(jīng)完成了簡單Froms驗(yàn)證的功能。運(yùn)行程序，你會發(fā)現(xiàn)，這里存在一個問題?。?！

你發(fā)現(xiàn)了嗎？當(dāng)我們被導(dǎo)航到login.aspx時，這個頁面的樣式丟失了！這是因?yàn)槲覀儗φ麄€網(wǎng)站的資源進(jìn)行了訪問限制，如果沒有登陸，用戶不僅無法訪問.aspx頁面，甚至連css文件、js文件都無法訪問。顯然，這不是我們想要的，因?yàn)檫@些資源并不是敏感的資源。在通常情況下，我們只希望對部分文件夾中的文件進(jìn)行驗(yàn)證訪問限制，而不是整個網(wǎng)站，例如，我們允許只對User文件夾下的頁面進(jìn)行訪問限制，因?yàn)檫@個文件夾中存放的是用戶的私人信息，這些信息是敏感的。這該如何實(shí)現(xiàn)呢？

為了完成演示分目錄驗(yàn)證，我們在項(xiàng)目中添加一個User文件夾，并添加UserInfo.aspx、 UserLogin.aspx兩個頁面。UserInfo.aspx用來展示用戶信息，它的業(yè)務(wù)邏輯我們不是我們關(guān)心的，UserLogin.aspx頁面用來讓用戶登陸，代碼跟Login.aspx頁面幾乎完全相同。

第一步：修改Web.config文件，允許匿名用戶訪問系統(tǒng)資源。

 <authorization>
   <allow users="?"/>
  </authorization>

第二步：在User文件夾下添加一個Web.config文件，修改代碼，拒絕匿名用戶訪問該文件夾下的資源。

   <authorization>
    <deny users="?"/>
   </authorization>

完成這兩步后，我們訪問UserInfo.aspx時，如果沒有登陸，則會被導(dǎo)航到~/User/UserLogin.aspx頁面，當(dāng)?shù)顷懞?，又會被?dǎo)航到~/User/UserInfo.aspx頁面。這個時侯，我們的登陸頁面樣式并沒有丟失，這說明我們的配置文件起作用了。

接下來，我們想在UserInfo.aspx頁面中顯示出已登陸用戶的用戶名和密碼（這里完全是為了演示如何獲取登陸用戶數(shù)據(jù)才這樣做的，通常用戶的密碼是不會展示的）。在進(jìn)行登陸后，用戶的票據(jù)信息被加密保存在Cookie中，這個票據(jù)中，有已登錄用戶的名稱信息，我們通過獲取票據(jù)中的用戶名，即可獲取到完整的用戶信息。

為了顯示用戶信息，我們在頁面中放置兩個Label控件，代碼如下：

<h2>
<p>用戶名：<asp:Label ID="lblUserName" Text="" runat="server" /></p>
<p>密&nbsp;&nbsp;&nbsp;&nbsp;碼：<asp:Label ID="lblUserPWD" Text="" runat="server" /></p>
</h2>

然后，我們在頁面的Load方法中，獲取并展示用戶信息：

if (this.Context.User != null && this.Context.User.Identity != null && this.Context.User.Identity.IsAuthenticated)
{
  SampleUser user = SampleUser.GetUser(this.Context.User.Identity.Name);
  if (user != null)
  {
    this.lblUserName.Text = user.UserName;
    this.lblUserPWD.Text = user.UserPWD;
  }
}

再次運(yùn)行我們的代碼，當(dāng)用戶登陸后（如果保持登陸狀態(tài)，即使關(guān)掉并重新打開瀏覽器），我們都可以獲取到已登錄用戶的Name，從而獲取用戶的對象。

如果要退出登陸，我們只需要刪除保存在Cookie中的票證信息即可，這個功能Forms驗(yàn)證已經(jīng)幫我們完成，代碼很簡單：

FormsAuthentication.SignOut();　　//退出登陸

在本文中，沒有涉及到角色的驗(yàn)證，這是因?yàn)橥ㄟ^在配置文件中指定角色這種方法并不夠靈活，如果角色是可以在程序中維護(hù)的，那么我們在這里的指定就形同虛設(shè)了。感興趣的朋友可以自行學(xué)習(xí)，也并不復(fù)雜。在本文的結(jié)尾，附上詳細(xì)的Forms驗(yàn)證在Web.config中的配置說明：

<forms 
   name="name" 
   loginUrl="URL" 
   defaultUrl="URL"
   protection="[All|None|Encryption|Validation]"
   timeout="[MM]"
   path="path"
   requireSSL="[true|false]"
   slidingExpiration="[true|false]">
   enableCrossAppRedirects="[true|false]"
   cookieless="[UseUri|UseCookie|AutoDetect|UseDeviceProfile]" 
   domain="domain name"
   ticketCompatibilityMode="[Framework20|Framework40]">
   <credentials>...</credentials>
 </forms>

name：指定要用于身份驗(yàn)證的 HTTP Cookie。如果正在一臺服務(wù)器上運(yùn)行多個應(yīng)用程序并且每個應(yīng)用程序都需要唯一的 Cookie，則必須在每個應(yīng)用程序的 Web.config 文件中配置 Cookie 名稱。默認(rèn)值為 ".ASPXAUTH"。
loginUrl：指定如果找不到任何有效的身份驗(yàn)證 Cookie，將請求重定向到的用于登錄的 URL。默認(rèn)值為 login.aspx。
defaultUrl：定義在身份驗(yàn)證之后用于重定向的默認(rèn) URL。默認(rèn)值為 "default.aspx"。
protection：指定 Cookie 使用的加密類型（如果有）。默認(rèn)值為 All。
timeout：指定 Cookie 過期前逝去的時間（以整數(shù)分鐘為單位）。如果 SlidingExpiration 屬性為 true，則 timeout 屬性是滑動值，會在接收到上一個請求之后的指定時間（以分鐘為單位）后過期。為防止危及性能并避免向開啟 Cookie 警告的用戶發(fā)出多個瀏覽器警告，當(dāng)指定的時間逝去大半時將更新 Cookie。這可能導(dǎo)致精確性受損。默認(rèn)值為 "30"（30 分鐘）。
path：為應(yīng)用程序發(fā)出的 Cookie 指定路徑。默認(rèn)值是斜杠 ( /)，這是因?yàn)榇蠖鄶?shù)瀏覽器是區(qū)分大小寫的，如果路徑大小寫不匹配，瀏覽器不會送回 Cookie。
requireSSL：指定是否需要 SSL 連接來傳輸身份驗(yàn)證 Cookie。默認(rèn)值為 False。
slidingExpiration：指定是否啟用可調(diào)過期時間?？烧{(diào)過期將 Cookie 的當(dāng)前身份驗(yàn)證時間重置為在單個會話期間收到每個請求時過期。默認(rèn)值為 True。
enableCrossAppRedirects：表明是否將通過身份驗(yàn)證的用戶重定向到其他 Web 應(yīng)用程序中的 URL。默認(rèn)值為 False。
cookieless：定義是否使用 Cookie 以及 Cookie 的行為。默認(rèn)值為 UseDeviceProfile.
domain：指定在傳出 Forms 身份驗(yàn)證 Cookie 中設(shè)置的可選域。此設(shè)置的優(yōu)先級高于 httpCookies 元素中使用的域。默認(rèn)值為空字符串 ("")。
ticketCompatibilityMode：指定在 Forms 身份驗(yàn)證中對于票證到期日期使用協(xié)調(diào)世界時 (UTC) 還是本地時間。默認(rèn)值為 Framework20。