Forms 身份验证
注:贴出来,方便自己日后参考。 出处:MSDN
在此应用程序示例中要用到两个目录(FormsAuth 和 AddUser)和六个文件。它们按下面的方式排列。
\FormsAuth (Web.config, Default.aspx, Logon.aspx, Users.xml)
\FormsAuth\AddUser (Web.config, AddUser.aspx)
(FormsAuth 目录是应用程序根目录。)
在位于 FormsAuth 目录的 Web.config 文件的安全性部分中设置授权,以便只有已验证的用户才可以访问此目录。
身份验证模式设置为 Forms,所以 ASP.NET 将尝试查找附加到该请求的 Cookie。如果没有找到,则将请求重定向到登录页 (Logon.aspx)。客户端用户在登录页中输入所需的凭据(电子邮件名称和密码)。该页将输入的凭据与 XML 文件 (Users.xml) 中的凭据列表相比较。如果找到匹配项,则将请求视为已验证,并将客户重定向到最初请求的资源 (Default.aspx)。如果没有找到匹配项,则将请求重定向到“添加用户”页 (AddUser.aspx)。位于此 AddUser 目录中的 Web.config 文件有设置为允许任何人访问的授权。在这里,刚输入的凭据被编码并添加到 XML 文件 (Users.xml) 中。
用户凭据文件 (Users.xml)
Users.xml 是这样一个文件,它包含已授权访问 Default.aspx 文件(也位于 FormsAuth 目录中)的用户的用户名和密码。Logon.aspx 从此文件读取用户名和密码信息,而 AddUser 进程将用户名和密码信息写入此文件。
在这个简单的示例中,将使用静态 FormsAuthentication.HashPasswordForStoringInConfigFile 方法对密码进行散列运算。
下例显示 Users.xml 文件的默认内容。对于 jchen@mail.com,非哈希密码是 jchenpw
<Users> <Users> <UserEmail>jchen@mail.com</UserEmail> <UserPassword> BA56E5E0366D003E98EA1C7F04ABF8FCB3753889 </UserPassword> </Users></Users>
应用程序根目录配置文件 (Web.config)
<configuration> <system.web> <authentication mode="Forms"> <forms name="FORMSAUTHCOOKIE" loginUrl = "logon.aspx" /> </authentication> <!-- 拒绝未经身份验证的用户访问此目录 --> <authorization> <deny users="?"/> </authorization> </system.web></configuration>
AddUser 目录配置文件 (Web.config)
这些设置允许任何人查看 AddUser.aspx 页。
<configuration> <system.web> <authorization> <allow users="*"/> </authorization> </system.web ></configuration>
Default.aspx 文件
Default.aspx 文件是默认被请求的、受保护的资源。如果传输的请求具有有效的 Cookie,则它是显示字符串 Hello 和用户的存储电子邮件名称的简单文件。如果 Cookie 未随请求一起传输,则 ASP.NET 将客户自动重定向到 Logon.aspx 页。Default.aspx 还包括一个“注销”按钮,该按钮从客户端删除 Cookie。
FormsAuthentication.SignOut()
Login.aspx 文件
//创建“数据集”类的新实例。 DataSet ds = new DataSet(); //读入包含已验证用户名和密码组合的 XML 文件。 FileStream fs = new FileStream(Server.MapPath("Users.xml"), FileMode.Open,FileAccess.Read); StreamReader reader = new StreamReader(fs); ds.ReadXml(reader); fs.Close(); //创建一个名为 users 的“数据表”的新实例 DataTable users = ds.Tables[0]; //检查登录名和 Users.aspx 中的名称列表之间所存在的任何匹配项。 //对于找到的每个匹配项,均在名为 matches 的“数据行”中记录其名称。 //注意:为简单起见,此示例要求每个名称都是唯一的, //所以只使用找到的第一个匹配项。 DataRow[] matches = users.Select(cmd); //检查在前面步骤中找到的每个名称匹配项, //查看对于它们中的任意一个是否存在匹配的密码。 if( matches != null && matches.Length > 0 ) 
{
//如果找到用户名匹配项,则对用户的密码进行散列运算 //并将其与存储在 Users.xml 文件中的哈希进行比较。 DataRow row = matches[0]; string hashedpwd = FormsAuthentication.HashPasswordForStoringInConfigFile (UserPass.Value, "SHA1"); String pass = (String)row["UserPassword"]; if( 0 != String.Compare(pass, hashedpwd, false) ) // Tell the user if no password match is found. It is good // security practice give no hints about what parts of the // logon credentials are invalid. Msg.Text = "Invalid Credentials: Please try again."; else // If a password match is found, redirect the request // to the originally requested resource (Default.aspx). FormsAuthentication.RedirectFromLoginPage (UserEmail.Value, Persist.Checked);
} else { // If no name matches were found, redirect the request to the // AddUser page using a Response.Redirect command. Response.Redirect("AddUser/AddUser.aspx"); }
AddUser.aspx 文件
//如果该页无效,则通知用户。 if( !Page.IsValid ) { Msg.Text = "Some required fields are invalid."; return; } //创建名为 ds 的“数据集”的实例。 DataSet ds = new DataSet(); //使用 Users.xml 文件的路径初始化名为 userFile 的字符串。 String userFile = "../users.xml"; //将 XML 文件读入在步骤 b 中创建的 ds“数据集”。 FileStream fs = new FileStream(Server.MapPath(userFile),FileMode.Open,FileAccess.Read); StreamReader reader = new StreamReader(fs); ds.ReadXml(reader); fs.Close(); //对密码进行散列运算并将新名称和哈希密码添加到 ds“数据集”。 string hashedpwd = FormsAuthentication.HashPasswordForStoringInConfigFile(UserPass.Value, "SHA1"); DataRow newUser = ds.Tables[0].NewRow(); newUser["UserEmail"] = UserEmail.Value; newUser["UserPassword"] = hashedpwd; ds.Tables[0].Rows.Add(newUser); ds.AcceptChanges(); //使用新名称和密码将新的“数据集”写入 XML 文件。 fs = new FileStream(Server.MapPath(userFile), FileMode.Create, FileAccess.Write|FileAccess.Read); StreamWriter writer = new StreamWriter(fs); ds.WriteXml(writer); writer.Close(); fs.Close();
--------------------------
to be continued