兽性总裁的爱奴,盗墓笔记txt全集下载,盗墓笔记第二季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

ASP.NETForms身份認(rèn)證

用戶登錄是個很常見的業(yè)務(wù)需求，在ASP.NET中，這個過程被稱為身份認(rèn)證。由于很常見，因此，我認(rèn)為把這塊內(nèi)容整理出來，與大家分享應(yīng)該是件有意義的事。

在開發(fā)ASP.NET項(xiàng)目中，我們最常用的是Forms認(rèn)證，也叫【表單認(rèn)證】。這種認(rèn)證方式既可以用于局域網(wǎng)環(huán)境，也可用于互聯(lián)網(wǎng)環(huán)境，因此，它有著非常廣泛的使用。這篇博客主要討論的話題是：ASP.NET Forms 身份認(rèn)證。

有一點(diǎn)我要申明一下：在這篇博客中，不會涉及ASP.NET的登錄系列控件以及membership的相關(guān)話題，我只想用比較原始的方式來說明在ASP.NET中是如何實(shí)現(xiàn)身份認(rèn)證的過程。

ASP.NET身份認(rèn)證基礎(chǔ)

在開始今天的博客之前，我想有二個最基礎(chǔ)的問題首先要明確：

1. 如何判斷當(dāng)前請求是一個已登錄用戶發(fā)起的？

2. 如何獲取當(dāng)前登錄用戶的登錄名？

在標(biāo)準(zhǔn)的ASP.NET身份認(rèn)證方式中，上面二個問題的答案是：

1. 如果Request.IsAuthenticated為true，則表示是一個已登錄用戶。

2. 如果是一個已登錄用戶，訪問HttpContext.User.Identity.Name可獲取登錄名（都是實(shí)例屬性）。

接下來，本文將會圍繞上面二個問題展開，請繼續(xù)閱讀。

ASP.NET身份認(rèn)證過程

在ASP.NET中，整個身份認(rèn)證的過程其實(shí)可分為二個階段：認(rèn)證與授權(quán)。

1. 認(rèn)證階段：識別當(dāng)前請求的用戶是不是一個可識別（的已登錄）用戶。

2. 授權(quán)階段：是否允許當(dāng)前請求訪問指定的資源。

這二個階段在ASP.NET管線中用AuthenticateRequest和AuthorizeRequest事件來表示。

在認(rèn)證階段，ASP.NET會檢查當(dāng)前請求，根據(jù)web.config設(shè)置的認(rèn)證方式，嘗試構(gòu)造HttpContext.User對象供我們在后續(xù)的處理中使用。在授權(quán)階段，會檢查當(dāng)前請求所訪問的資源是否允許訪問，因?yàn)橛行┦鼙Ｗo(hù)的頁面資源可能要求特定的用戶或者用戶組才能訪問。所以，即使是一個已登錄用戶，也有可能會不能訪問某些頁面。當(dāng)發(fā)現(xiàn)用戶不能訪問某個頁面資源時，ASP.NET會將請求重定向到登錄頁面。

受保護(hù)的頁面與登錄頁面我們都可以在web.config中指定，具體方法可參考后文。

在ASP.NET中，F(xiàn)orms認(rèn)證是由FormsAuthenticationModule實(shí)現(xiàn)的，URL的授權(quán)檢查是由UrlAuthorizationModule實(shí)現(xiàn)的。

如何實(shí)現(xiàn)登錄與注銷

前面我介紹了可以使用Request.IsAuthenticated來判斷當(dāng)前用戶是不是一個已登錄用戶，那么這一過程又是如何實(shí)現(xiàn)的呢？

為了回答這個問題，我準(zhǔn)備了一個簡單的示例頁面，代碼如下：

 
 
 
 
  
  
  
  用戶狀態(tài)" method="post"> 
  
  
  
      <% if( Request.IsAuthenticated ) { %> 
  
  
  
          當(dāng)前用戶已登錄，登錄名：<%= Context.User.Identity.Name.HtmlEncode() %>               
  
  
  
           
  
  
  
      <% } else { %> 
  
  
  
          當(dāng)前用戶還未登錄。 
  
  
  
      <% } %>

頁面顯示效果如下：

根據(jù)前面的代碼，我想現(xiàn)在能看到這個頁面顯示也是正確的，是的，我目前還沒有登錄（根本還沒有實(shí)現(xiàn)這個功能）。

下面我再加點(diǎn)代碼來實(shí)現(xiàn)用戶登錄。頁面代碼：

 
 
 
 
  
  
  
  普通登錄" method="post"> 
  
  
  
      登錄名：

現(xiàn)在頁面的顯示效果：

登錄與退出登錄的實(shí)現(xiàn)代碼：

 
 
 
 
  
  
  
  public void Logon()  
  
  
  
  {  
  
  
  
      FormsAuthentication.SignOut();  
  
  
  
  }  
  
  
  
   
  
  
  
  public void NormalLogin()  
  
  
  
  {  
  
  
  
      // -----------------------------------------------------------------  
  
  
  
      // 注意：演示代碼為了簡單，這里不檢查用戶名與密碼是否正確。  
  
  
  
      // -----------------------------------------------------------------  
  
  
  
   
  
  
  
      string loginName = Request.Form["loginName"];  
  
  
  
      if( string.IsNullOrEmpty(loginName) )  
  
  
  
          return;  
  
  
  
        
  
  
  
      FormsAuthentication.SetAuthCookie(loginName, true);  
  
  
  
   
  
  
  
      TryRedirect();  
  
  
  
  }

現(xiàn)在，我可試一下登錄功能。點(diǎn)擊登錄按鈕后，頁面的顯示效果如下：

從圖片的顯示可以看出，我前面寫的NormalLogin()方法確實(shí)可以實(shí)現(xiàn)用戶登錄。
當(dāng)然了，我也可以在此時點(diǎn)擊退出按鈕，那么就回到了圖片２的顯示。

寫到這里，我想有必要再來總結(jié)一下在ASP.NET中實(shí)現(xiàn)登錄與注銷的方法：

1. 登錄：調(diào)用FormsAuthentication.SetAuthCookie()方法，傳遞一個登錄名即可。

2. 注銷：調(diào)用FormsAuthentication.SignOut()方法。

保護(hù)受限制的頁面

在一個ASP.NET網(wǎng)站中，有些頁面會允許所有用戶訪問，包括一些未登錄用戶，但有些頁面則必須是已登錄用戶才能訪問，還有一些頁面可能會要求特定的用戶或者用戶組的成員才能訪問。這類頁面因此也可稱為【受限頁面】，它們一般代表著比較重要的頁面，包含一些重要的操作或功能。

為了保護(hù)受限制的頁面的訪問，ASP.NET提供了一種簡單的方式：可以在web.config中指定受限資源允許哪些用戶或者用戶組（角色）的訪問，也可以設(shè)置為禁止訪問。

比如，網(wǎng)站有一個頁面：MyInfo.aspx，它要求訪問這個頁面的訪問者必須是一個已登錄用戶，那么可以在web.config中這樣配置：

為了方便，我可能會將一些管理相關(guān)的多個頁面放在Admin目錄中，顯然這些頁面只允許Admin用戶組的成員才可以訪問。對于這種情況，我們可以直接針對一個目錄設(shè)置訪問規(guī)則：

這樣就不必一個一個頁面單獨(dú)設(shè)置了，還可以在目錄中創(chuàng)建一個web.config來指定目錄的訪問規(guī)則，請參考后面的示例。

在前面的示例中，有一點(diǎn)要特別注意的是：

1. allow和deny之間的順序一定不能寫錯了，UrlAuthorizationModule將按這個順序依次判斷。

2. 如果某個資源只允許某類用戶訪問，那么最后的一條規(guī)則一定是

在allow和deny的配置中，我們可以在一條規(guī)則中指定多個用戶：

1. 使用users屬性，值為逗號分隔的用戶名列表。

2. 使用roles屬性，值為逗號分隔的角色列表。

3. 問號 (?) 表示匿名用戶。

4. 星號 (*) 表示所有用戶。

登錄頁不能正常顯示的問題

有時候，我們可能要開發(fā)一個內(nèi)部使用的網(wǎng)站程序，這類網(wǎng)站程序要求 禁止匿名用戶的訪問，即：所有使用者必須先登錄才能訪問。因此，我們通常會在網(wǎng)站根目錄下的web.config中這樣設(shè)置：

對于我們的示例，我們也可以這樣設(shè)置。此時在瀏覽器打開頁面時，呈現(xiàn)效果如下：

從圖片中可以看出：頁面的樣式顯示不正確，最下邊還多出了一行文字。

這個頁面的完整代碼是這樣的（它引用了一個CSS文件和一個JS文件）：

 
 
 
 
  
  
  
  <%@ Page Language="C#" CodeFile="Default.aspx.cs" Inherits="_Default" %> 
  
  
  
   
  
  
  
   
  
  
  
      FormsAuthentication DEMO  - http://www.cnblogs.com/fish-li/ 
  
  
  
       
  
  
  
   
  
  
  
   
  
  
  
      普通登錄" method="post"> 
  
  
  
          登錄名： 
  
  
  
           
  
  
  
             
  
  
  
        
  
  
  
      用戶狀態(tài)" method="post"> 
  
  
  
          <% if( Request.IsAuthenticated ) { %> 
  
  
  
              當(dāng)前用戶已登錄，登錄名：<%= Context.User.Identity.Name.HtmlEncode() %>  
  
  
  
                
  
  
  
              <% var user = Context.User as MyFormsPrincipal;  %> 
  
  
  
              <% if( user != null ) { %> 
  
  
  
                  <%= user.UserData.ToString().HtmlEncode() %> 
  
  
  
              <% } %> 
  
  
  
                
  
  
  
               
  
  
  
          <% } else { %> 
  
  
  
              當(dāng)前用戶還未登錄。 
  
  
  
          <% } %>              
  
  
  
            
  
  
  
        
  
  
  
      不應(yīng)該顯示的文字

頁面最后一行文字平時不顯示是因?yàn)镴Script.js中有以下代碼：

 
 
 
 
  
  
  
  document.getElementById("hideText").setAttribute("style", "display: none");

這段JS代碼能做什么，我想就不用再解釋了。雖然這段JS代碼沒什么價值，但我主要是想演示在登錄頁面中引用JS的場景。

根據(jù)前面圖片，我們可以猜測到：應(yīng)該是CSS和JS文件沒有正確加載造成的。為了確認(rèn)就是這樣原因，我們可以打開FireBug再來看一下頁面加載情況：

根據(jù)FireBug提供的線索我們可以分析出，頁面在訪問CSS, JS文件時，其實(shí)是被重定向到登錄頁面了，因此獲得的結(jié)果肯定也是無意義的，所以就造成了登錄頁的顯示不正確。

還記得前所說的【授權(quán)】嗎？
是的，現(xiàn)在就是由于我們在web.config中設(shè)置了不允許匿名用戶訪問，因此，所有的資源也就不允許匿名用戶訪問了，包括登錄頁所引用的CSS, JS文件。當(dāng)授權(quán)檢查失敗時，請求會被重定向到登錄頁面，所以，登錄頁本身所引用的CSS, JS文件最后得到的響應(yīng)內(nèi)容其實(shí)是登錄頁的HTML代碼，最終導(dǎo)致它們不能發(fā)揮作用，表現(xiàn)為登錄頁的樣式顯示不正確，以及引用的JS文件也不起作用。

不過，有一點(diǎn)比較奇怪：為什么訪問登錄頁面時，沒有發(fā)生重定向呢？

原因是這樣的：在ASP.NET內(nèi)部，當(dāng)發(fā)現(xiàn)是在訪問登錄面時，會設(shè)置HttpContext.SkipAuthorization = true （其實(shí)是一個內(nèi)部調(diào)用），這樣的設(shè)置會告訴后面的授權(quán)檢查模塊：跳過這次請求的授權(quán)檢查。 因此，登錄頁總是允許所有用戶訪問，但是CSS文件以及JS文件是在另外的請求中發(fā)生的，那些請求并不會要跳過授權(quán)模塊的檢查。

為了解決登錄頁不能正確顯示的問題，我們可以這樣處理：

1. 在網(wǎng)站根目錄中的web.config中設(shè)置登錄頁所引用的JS, CSS文件都允許匿名訪問。

2. 也可以直接針對JS, CSS目錄設(shè)置為允許匿名用戶訪問。

3. 還可以在CSS, JS目錄中創(chuàng)建一個web.config文件來配置對應(yīng)目錄的授權(quán)規(guī)則?？蓞⒖家韵聎eb.config文件：

第三種做法可以不修改網(wǎng)站根目錄下的web.config文件。

注意：在IIS中看到的情況就和在Visual Studio中看到的結(jié)果就不一樣了。 因?yàn)?，像js, css, image這類文件屬于靜態(tài)資源文件，IIS能直接處理，不需要交給ASP.NET來響應(yīng)，因此就不會發(fā)生授權(quán)檢查失敗，所以，如果這類網(wǎng)站部署在IIS中，看到的結(jié)果又是正常的。

認(rèn)識Forms身份認(rèn)證

前面我演示了如何用代碼實(shí)現(xiàn)登錄與注銷的過程，下面再來看一下登錄時，ASP.NET到底做了些什么事情，它是如何知道當(dāng)前請求是一個已登錄用戶的？

在繼續(xù)探索這個問題前，我想有必要來了解一下HTTP協(xié)議的一些特點(diǎn)。

HTTP是一個無狀態(tài)的協(xié)議，無狀態(tài)的意思可以理解為： WEB服務(wù)器在處理所有傳入請求時，根本就不知道某個請求是否是一個用戶的第一次請求與后續(xù)請求，或者是另一個用戶的請求。 WEB服務(wù)器每次在處理請求時，都會按照用戶所訪問的資源所對應(yīng)的處理代碼，從頭到尾執(zhí)行一遍，然后輸出響應(yīng)內(nèi)容， WEB服務(wù)器根本不會記住已處理了哪些用戶的請求，因此，我們通常說HTTP協(xié)議是無狀態(tài)的。

雖然HTTP協(xié)議與WEB服務(wù)器是無狀態(tài)，但我們的業(yè)務(wù)需求卻要求有狀態(tài)，典型的就是用戶登錄，在這種業(yè)務(wù)需求中，要求WEB服務(wù)器端能區(qū)分某個請求是不是一個已登錄用戶發(fā)起的，或者當(dāng)前請求是哪個用戶發(fā)出的。在開發(fā)WEB應(yīng)用程序時，我們通常會使用Cookie來保存一些簡單的數(shù)據(jù)供服務(wù)端維持必要的狀態(tài)。既然這是個通常的做法，那我們現(xiàn)在就來看一下現(xiàn)在頁面的Cookie使用情況吧，以下是我用FireFox所看到的Cookie列表：

這個名字：LoginCookieName，是我在web.config中指定的：

在這段配置中，我不僅指定的登錄狀態(tài)的Cookie名，還指定了身份驗(yàn)證模式，以及Cookie的使用方式。

為了判斷這個Cookie是否與登錄狀態(tài)有關(guān)，我們可以在瀏覽器提供的界面刪除它，然后刷新頁面，此時頁面的顯示效果如下：

此時，頁面顯示當(dāng)前用戶沒有登錄。

為了確認(rèn)這個Cookie與登錄狀態(tài)有關(guān)，我們可以重新登錄，然后再退出登錄。
發(fā)現(xiàn)只要是頁面顯示當(dāng)前用戶未登錄時，這個Cookie就不會存在。

事實(shí)上，通過SetAuthCookie這個方法名，我們也可以猜得出這個操作會寫一個Cookie。
注意：本文不討論無Cookie模式的Forms登錄。

從前面的截圖我們可以看出：雖然當(dāng)前用戶名是 Fish ，但是，Cookie的值是一串亂碼樣的字符串。
由于安全性的考慮，ASP.NET對Cookie做過加密處理了，這樣可以防止惡意用戶構(gòu)造Cookie繞過登錄機(jī)制來模擬登錄用戶。如果想知道這串加密字符串是如何得到的，那么請參考后文。

小結(jié)：

1. Forms身份認(rèn)證是在web.config中指定的，我們還可以設(shè)置Forms身份認(rèn)證的其它配置參數(shù)。

2. Forms身份認(rèn)證的登錄狀態(tài)是通過Cookie來維持的。

3. Forms身份認(rèn)證的登錄Cookie是加密的。

理解Forms身份認(rèn)證

經(jīng)過前面的Cookie分析，我們可以發(fā)現(xiàn)Cookie的值是一串加密后的字符串，現(xiàn)在我們就來分析這個加密過程以及Cookie對于身份認(rèn)證的作用。

登錄的操作通常會檢查用戶提供的用戶名和密碼，因此登錄狀態(tài)也必須具有足夠高的安全性。在Forms身份認(rèn)證中，由于登錄狀態(tài)是保存在Cookie中，而Cookie又會保存到客戶端，因此，為了保證登錄狀態(tài)不被惡意用戶偽造， ASP.NET采用了加密的方式保存登錄狀態(tài)。為了實(shí)現(xiàn)安全性，ASP.NET采用【Forms身份驗(yàn)證憑據(jù)】（即FormsAuthenticationTicket對象）來表示一個Forms登錄用戶，加密與解密由FormsAuthentication的Encrypt與Decrypt的方法來實(shí)現(xiàn)。

用戶登錄的過程大致是這樣的：

1. 檢查用戶提交的登錄名和密碼是否正確。

2. 根據(jù)登錄名創(chuàng)建一個FormsAuthenticationTicket對象。

3. 調(diào)用FormsAuthentication.Encrypt()加密。

4. 根據(jù)加密結(jié)果創(chuàng)建登錄Cookie，并寫入Response。

在登錄驗(yàn)證結(jié)束后，一般會產(chǎn)生重定向操作，那么后面的每次請求將帶上前面產(chǎn)生的加密Cookie，供服務(wù)器來驗(yàn)證每次請求的登錄狀態(tài)。

每次請求時的（認(rèn)證）處理過程如下：

1. FormsAuthenticationModule嘗試讀取登錄Cookie。

2. 從Cookie中解析出FormsAuthenticationTicket對象。過期的對象將被忽略。

3. 根據(jù)FormsAuthenticationTicket對象構(gòu)造FormsIdentity對象并設(shè)置HttpContext.Usre

4. UrlAuthorizationModule執(zhí)行授權(quán)檢查。

在登錄與認(rèn)證的實(shí)現(xiàn)中，F(xiàn)ormsAuthenticationTicket和FormsAuthentication是二個核心的類型，前者可以認(rèn)為是一個數(shù)據(jù)結(jié)構(gòu)，后者可認(rèn)為是處理前者的工具類。

UrlAuthorizationModule是一個授權(quán)檢查模塊，其實(shí)它與登錄認(rèn)證的關(guān)系較為獨(dú)立，因此，如果我們不使用這種基于用戶名與用戶組的授權(quán)檢查，也可以禁用這個模塊。

由于Cookie本身有過期的特點(diǎn)，然而為了安全，F(xiàn)ormsAuthenticationTicket也支持過期策略，不過，ASP.NET的默認(rèn)設(shè)置支持FormsAuthenticationTicket的可調(diào)過期行為，即：slidingExpiration=true 。這二者任何一個過期時，都將導(dǎo)致登錄狀態(tài)無效。

FormsAuthenticationTicket的可調(diào)過期的主要判斷邏輯由FormsAuthentication.RenewTicketIfOld方法實(shí)現(xiàn)，代碼如下：

 
 
 
 
  
  
  
  public static FormsAuthenticationTicket RenewTicketIfOld(FormsAuthenticationTicket tOld)  
  
  
  
  {  
  
  
  
      // 這段代碼是意思是：當(dāng)指定的超時時間逝去大半時將更新FormsAuthenticationTicket對象。  
  
  
  
   
  
  
  
      if( tOld == null )   
  
  
  
          return null;  
  
  
  
        
  
  
  
      DateTime now = DateTime.Now;  
  
  
  
      TimeSpan span = (TimeSpan)(now - tOld.IssueDate);  
  
  
  
      TimeSpan span2 = (TimeSpan)(tOld.Expiration - now);  
  
  
  
      if( span2 > span )   
  
  
  
          return tOld;  
  
  
  
        
  
  
  
      return new FormsAuthenticationTicket(tOld.Version, tOld.Name,  
  
  
  
          now, now + (tOld.Expiration - tOld.IssueDate),  
  
  
  
          tOld.IsPersistent, tOld.UserData, tOld.CookiePath);  
  
  
  
  }

Request.IsAuthenticated可以告訴我們當(dāng)前請求是否已經(jīng)過身份驗(yàn)證，我們來看一下這個屬性是如何實(shí)現(xiàn)的：

 
 
 
 
  
  
  
  public bool IsAuthenticated  
  
  
  
  {  
  
  
  
      get 
  
  
  
      {  
  
  
  
          return (((this._context.User != null)   
  
  
  
              && (this._context.User.Identity != null))   
  
  
  
              && this._context.User.Identity.IsAuthenticated);  
  
  
  
      }  
  
  
  
  }

從代碼可以看出，它的返回結(jié)果基本上來源于對Context.User的判斷。
另外，由于User和Identity都是二個接口類型的屬性，因此，不同的實(shí)現(xiàn)方式對返回值也有影響。

由于可能會經(jīng)常使用HttpContext.User這個實(shí)例屬性，為了讓它能正常使用， DefaultAuthenticationModule會在ASP.NET管線的PostAuthenticateRequest事件中檢查此屬性是否為null，如果它為null，DefaultAuthenticationModule會給它一個默認(rèn)的GenericPrincipal對象，此對象指示一個未登錄的用戶。

我認(rèn)為ASP.NET的身份認(rèn)證的最核心部分其實(shí)就是HttpContext.User這個屬性所指向的對象。為了更好了理解Forms身份認(rèn)證，我認(rèn)為自己重新實(shí)現(xiàn)User這個對象的接口會有較好的幫助。

實(shí)現(xiàn)自定義的身份認(rèn)證標(biāo)識

前面演示了最簡單的ASP.NET Forms身份認(rèn)證的實(shí)現(xiàn)方法，即：直接調(diào)用SetAuthCookie方法。不過調(diào)用這個方法，只能傳遞一個登錄名。但是有時候?yàn)榱朔奖愫罄m(xù)的請求處理，還需要保存一些與登錄名相關(guān)的額外信息。雖然知道ASP.NET使用Cookie來保存登錄名狀態(tài)信息，我們也可以直接將前面所說的額外信息直接保存在Cookie中，但是考慮安全性，我們還需要設(shè)計(jì)一些加密方法，而且還需要考慮這些額外信息保存在哪里才能方便使用，并還要考慮隨登錄與注銷同步修改。因此，實(shí)現(xiàn)這些操作還是有點(diǎn)繁瑣的。

為了保存與登錄名相關(guān)的額外的用戶信息，我認(rèn)為實(shí)現(xiàn)自定義的身份認(rèn)證標(biāo)識（HttpContext.User實(shí)例）是個容易的解決方法。
理解這個方法也會讓我們對Forms身份認(rèn)證有著更清楚地認(rèn)識。

這個方法的核心是（分為二個子過程）：

1. 在登錄時，創(chuàng)建自定義的FormsAuthenticationTicket對象，它包含了用戶信息。

2. 加密FormsAuthenticationTicket對象。

3. 創(chuàng)建登錄Cookie，它將包含F(xiàn)ormsAuthenticationTicket對象加密后的結(jié)果。

4. 在管線的早期階段，讀取登錄Cookie，如果有，則解密。

5. 從解密后的FormsAuthenticationTicket對象中還原我們保存的用戶信息。

6. 設(shè)置HttpContext.User為我們自定義的對象。

現(xiàn)在，我們還是來看一下HttpContext.User這個屬性的定義：

 
 
 
 
  
  
  
  //  為當(dāng)前 HTTP 請求獲取或設(shè)置安全信息。  
  
  
  
  //  
  
  
  
  // 返回結(jié)果:  
  
  
  
  //     當(dāng)前 HTTP 請求的安全信息。  
  
  
  
  public IPrincipal User { get; set; }

由于這個屬性只是個接口類型，因此，我們也可以自己實(shí)現(xiàn)這個接口。

考慮到更好的通用性：不同的項(xiàng)目可能要求接受不同的用戶信息類型。所以，我定義了一個泛型類。

 
 
 
 
  
  
  
  public class MyFormsPrincipal : IPrincipal  
  
  
  
      where TUserData : class, new()  
  
  
  
  {  
  
  
  
      private IIdentity _identity;  
  
  
  
      private TUserData _userData;  
  
  
  
   
  
  
  
      public MyFormsPrincipal(FormsAuthenticationTicket ticket, TUserData userData)  
  
  
  
      {  
  
  
  
          if( ticket == null )  
  
  
  
              throw new ArgumentNullException("ticket");  
  
  
  
          if( userData == null )  
  
  
  
              throw new ArgumentNullException("userData");  
  
  
  
   
  
  
  
          _identity = new FormsIdentity(ticket);  
  
  
  
          _userData = userData;  
  
  
  
      }  
  
  
  
        
  
  
  
      public TUserData UserData  
  
  
  
      {  
  
  
  
          get { return _userData; }  
  
  
  
      }  
  
  
  
   
  
  
  
      public IIdentity Identity  
  
  
  
      {  
  
  
  
          get { return _identity; }  
  
  
  
      }  
  
  
  
   
  
  
  
      public bool IsInRole(string role)  
  
  
  
      {  
  
  
  
          // 把判斷用戶組的操作留給UserData去實(shí)現(xiàn)。  
  
  
  
   
  
  
  
          IPrincipal principal = _userData as IPrincipal;  
  
  
  
          if( principal == null )  
  
  
  
              throw new NotImplementedException();  
  
  
  
          else 
  
  
  
              return principal.IsInRole(role);  
  
  
  
      }

與之配套使用的用戶信息的類型定義如下（可以根據(jù)實(shí)際情況來定義）：

 
 
 
 
  
  
  
  public class UserInfo : IPrincipal  
  
  
  
  {  
  
  
  
      public int UserId;  
  
  
  
      public int GroupId;  
  
  
  
      public string UserName;  
  
  
  
        
  
  
  
      // 如果還有其它的用戶信息，可以繼續(xù)添加。  
  
  
  
   
  
  
  
      public override string ToString()  
  
  
  
      {  
  
  
  
          return string.Format("UserId: {0}, GroupId: {1}, UserName: {2}, IsAdmin: {3}",  
  
  
  
              UserId, GroupId, UserName, IsInRole("Admin"));  
  
  
  
      }  
  
  
  
   
  
  
  
      #region IPrincipal Members  
  
  
  
   
  
  
  
      [ScriptIgnore]  
  
  
  
      public IIdentity Identity  
  
  
  
      {  
  
  
  
          get { throw new NotImplementedException(); }  
  
  
  
      }  
  
  
  
   
  
  
  
      public bool IsInRole(string role)  
  
  
  
      {  
  
  
  
          if( string.Compare(role, "Admin", true) == 0 )  
  
  
  
              return GroupId == 1;  
  
  
  
          else 
  
  
  
              return GroupId > 0;  
  
  
  
      }  
  
  
  
   
  
  
  
      #endregion  
  
  
  
  }

注意：表示用戶信息的類型并不要求一定要實(shí)現(xiàn)IPrincipal接口，如果不需要用戶組的判斷，可以不實(shí)現(xiàn)這個接口。

登錄時需要調(diào)用的方法（定義在MyFormsPrincipal類型中）：

 
 
 
 
  
  
  
  ///   
  
  
  
  /// 執(zhí)行用戶登錄操作  
  
  
  
  ///   
  
  
  
  /// 登錄名  
  
  
  
  /// 與登錄名相關(guān)的用戶信息  
  
  
  
  /// 登錄Cookie的過期時間，單位：分鐘。  
  
  
  
  public static void SignIn(string loginName, TUserData userData, int expiration)  
  
  
  
  {  
  
  
  
      if( string.IsNullOrEmpty(loginName) )  
  
  
  
          throw new ArgumentNullException("loginName");  
  
  
  
      if( userData == null )  
  
  
  
          throw new ArgumentNullException("userData");  
  
  
  
   
  
  
  
      // 1. 把需要保存的用戶數(shù)據(jù)轉(zhuǎn)成一個字符串。  
  
  
  
      string data = null;  
  
  
  
      if( userData != null )  
  
  
  
          data = (new JavaScriptSerializer()).Serialize(userData);  
  
  
  
   
  
  
  
   
  
  
  
      // 2. 創(chuàng)建一個FormsAuthenticationTicket，它包含登錄名以及額外的用戶數(shù)據(jù)。  
  
  
  
      FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(  
  
  
  
          2, loginName, DateTime.Now, DateTime.Now.AddDays(1), true, data);  
  
  
  
   
  
  
  
   
  
  
  
      // 3. 加密Ticket，變成一個加密的字符串。  
  
  
  
      string cookieValue = FormsAuthentication.Encrypt(ticket);  
  
  
  
   
  
  
  
   
  
  
  
      // 4. 根據(jù)加密結(jié)果創(chuàng)建登錄Cookie  
  
  
  
      HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, cookieValue);  
  
  
  
      cookie.HttpOnly = true;  
  
  
  
      cookie.Secure = FormsAuthentication.RequireSSL;  
  
  
  
      cookie.Domain = FormsAuthentication.CookieDomain;  
  
  
  
      cookie.Path = FormsAuthentication.FormsCookiePath;  
  
  
  
      if( expiration > 0 )  
  
  
  
          cookie.Expires = DateTime.Now.AddMinutes(expiration);  
  
  
  
   
  
  
  
      HttpContext context = HttpContext.Current;  
  
  
  
      if( context == null )  
  
  
  
          throw new InvalidOperationException();  
  
  
  
   
  
  
  
      // 5. 寫登錄Cookie  
  
  
  
      context.Response.Cookies.Remove(cookie.Name);  
  
  
  
      context.Response.Cookies.Add(cookie);  
  
  
  
  }

這里有必要再補(bǔ)充一下：登錄狀態(tài)是有過期限制的。Cookie有有效期，F(xiàn)ormsAuthenticationTicket對象也有有效期。這二者任何一個過期時，都將導(dǎo)致登錄狀態(tài)無效。按照默認(rèn)設(shè)置，F(xiàn)ormsAuthenticationModule將采用slidingExpiration=true的策略來處理FormsAuthenticationTicket過期問題。

登錄頁面代碼：

 
 
 
 
  
  
  
  包含【用戶信息】的自定義登錄    " method="post"> 
  
  
  
       
  
  
  
      登錄名： 
  
  
  
           
  
  
  
      UserId： 
  
  
  
           
  
  
  
      GroupId： 
  
  
  
           
  
  
  
          1表示管理員用戶  
  
  
  
           
  
  
  
      用戶全名：

登錄處理代碼：

 
 
 
 
  
  
  
  public void CustomizeLogin()  
  
  
  
  {  
  
  
  
      // -----------------------------------------------------------------  
  
  
  
      // 注意：演示代碼為了簡單，這里不檢查用戶名與密碼是否正確。  
  
  
  
      // -----------------------------------------------------------------  
  
  
  
   
  
  
  
      string loginName = Request.Form["loginName"];  
  
  
  
      if( string.IsNullOrEmpty(loginName) )  
  
  
  
          return;  
  
  
  
   
  
  
  
   
  
  
  
      UserInfo userinfo = new UserInfo();  
  
  
  
      int.TryParse(Request.Form["UserId"], out userinfo.UserId);  
  
  
  
      int.TryParse(Request.Form["GroupId"], out userinfo.GroupId);  
  
  
  
      userinfo.UserName = Request.Form["UserName"];  
  
  
  
   
  
  
  
      // 登錄狀態(tài)100分鐘內(nèi)有效  
  
  
  
      MyFormsPrincipal.SignIn(loginName, userinfo, 100);  
  
  
  
   
  
  
  
      TryRedirect();  
  
  
  
  }

顯示用戶信息的頁面代碼：

 
 
 
 
  
  
  
  用戶狀態(tài)" method="post"> 
  
  
  
      <% if( Request.IsAuthenticated ) { %> 
  
  
  
          當(dāng)前用戶已登錄，登錄名：<%= Context.User.Identity.Name.HtmlEncode() %>  
  
  
  
            
  
  
  
          <% var user = Context.User as MyFormsPrincipal;  %> 
  
  
  
          <% if( user != null ) { %> 
  
  
  
              <%= user.UserData.ToString().HtmlEncode() %> 
  
  
  
          <% } %> 
  
  
  
            
  
  
  
           
  
  
  
      <% } else { %> 
  
  
  
          當(dāng)前用戶還未登錄。 
  
  
  
      <% } %>

為了能讓上面的頁面代碼發(fā)揮工作，必須在頁面顯示前重新設(shè)置HttpContext.User對象。
為此，我在Global.asax中添加了一個事件處理器：

 
 
 
 
  
  
  
  protected void Application_AuthenticateRequest(object sender, EventArgs e)  
  
  
  
  {  
  
  
  
      HttpA                                                

                                                網(wǎng)站標(biāo)題：ASP.NETForms身份認(rèn)證                                                

                                                本文鏈接：http://fisionsoft.com.cn/article/codiood.html

新聞中心

其他資訊