惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Forbes - Security
Forbes - Security
L
Lohrmann on Cybersecurity
Simon Willison's Weblog
Simon Willison's Weblog
P
Proofpoint News Feed
P
Privacy International News Feed
The Hacker News
The Hacker News
AWS News Blog
AWS News Blog
S
Securelist
P
Proofpoint News Feed
Recent Announcements
Recent Announcements
GbyAI
GbyAI
B
Blog RSS Feed
A
About on SuperTechFans
C
CXSECURITY Database RSS Feed - CXSecurity.com
Y
Y Combinator Blog
Microsoft Azure Blog
Microsoft Azure Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
Cyberwarzone
Cyberwarzone
I
Intezer
T
Tor Project blog
T
The Blog of Author Tim Ferriss
The GitHub Blog
The GitHub Blog
云风的 BLOG
云风的 BLOG
Recorded Future
Recorded Future
aimingoo的专栏
aimingoo的专栏
Cisco Talos Blog
Cisco Talos Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
W
WeLiveSecurity
D
DataBreaches.Net
U
Unit 42
Project Zero
Project Zero
Martin Fowler
Martin Fowler
V
V2EX
The Last Watchdog
The Last Watchdog
Security Archives - TechRepublic
Security Archives - TechRepublic
C
Cisco Blogs
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
V2EX - 技术
V2EX - 技术
Hacker News - Newest:
Hacker News - Newest: "LLM"
T
Threat Research - Cisco Blogs
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
T
Tenable Blog
F
Full Disclosure
T
The Exploit Database - CXSecurity.com
H
Heimdal Security Blog
Latest news
Latest news
Webroot Blog
Webroot Blog

博客园 - 戈多

Asp.net页面生命周期 UML类关系描述图里箭头的使用 [转载]我的WCF之旅(1):创建一个简单的WCF程序 WebConfig Authorization 节点 HTTP协议基础 LINQ语法 Asp.net页面的生命周期 BS程序代码与安全与基本攻击/防御模式(转自BearOceanBlog) PetShop 4.0 详解之八(PetShop表示层设计) PetShop 4.0 详解之七(PetShop表示层设计) PetShop 4.0 详解之六(PetShop表示层设计) PetShop 4.0 详解之五(PetShop之业务逻辑层设计) PetShop 4.0 详解之四(PetShop之ASP.NET缓存) PetShop 4.0 详解之三(PetShop数据访问层之消息处理) PetShop 4.0 详解之二(数据访问层之数据库访问设计) PetShop 4.0 详解之一(系统架构设计) url 重写 XmlHttpRequest asp.net 性能优化细节
基于窗体的身份验证
戈多 · 2008-07-30 · via 博客园 - 戈多

开发asp.net 程序时最常用的验证模式就是基于窗体的身份验证模式,结合global.asawebconfig可以快速实现此种机制。笼统的说,该过程是先建一个文件夹,然后把要保护的页面放进去,接着设置一下web,config,这样就完成了保护。如果你要访问这个文件夹,就会被强制转到预先设定的登录页面,你填上正确的用户名和密码,提交,系统验证后,就把你的登陆信息写到cookie里面,这样你再去访问那个文件夹,就可以进去了,因为你的登陆凭证已经保存到cookie里面了。
    先要建一个asp.net应用程序,这里面至少要有一个登录用的页面,然后修改你的根目录下的web.config,把验证那一块改成Forms验证模式。

接下来在要保护的文件夹里放一个web.config,要注意的是,这个子文件夹里的web.config的实际内容不能像根目录下的那个一样多,否则就会出现配置错误,提示在应用程序级别以外使用注册为 allowDefinition='MachineToApplication' 的节是错误的。导致该错误的原因可能是在 IIS 中没有将虚拟目录作为应用程序进行配置。具体应该怎么做我也不清楚,总之这个web.config只要有下面的内容就ok了。
   

  当然也可以在顶层web.config文件中完成所有的url授权,而不是把它们分在各自目录下的web,config文件中。asp.net也支持这种做法。下面这个web,config文件,放在应用程序根目录下。
 如下:此设置是保护admin文件夹下的内容,拒绝匿名用户访问
 

   好了,设置完了,下面就开始为我们的窗体验证写代码了
   有两种方式,第一种,当网站的用户不是很多的时候,可以把用户和密码放到web.config里。办法就是在根目录下的web.config文件中加入一个credentials节,里面写上用户名和密码,这个是包含在forms节里面的。
   如下所示:

   在此种情况下  配合使用System.Web.Security.FormsAuthentication.Authenticate(string name,string password)验证credentials节中指定的用户名和密码,存在就返回true。

  下面着重介绍第二种方法,通过数据库读取用户名密码进行验证。
    1:首先在数据库里建立三张表: Users(UserID,UserName,UserPwd)---存放用户信息
                              Roles(RoleID,RoleName)------存放角色名称
                              User_Role(UserID,RoleID)-----用户和角色的中间表,使头两张表成为多对多关系

    2:然后在登陆页面的登陆按钮点击事件中加入如下逻辑

    在此也可以用 FormsAuthentication.SetAuthCookie(email.Text, RememberCheckbox.Checked);该方法不进行页面导向,而是停留在本页,然后由自己选择导向的页面。

    3:然后就要用到global.asax文件下的Application_AuthenticateRequest事件了,此事件在每次访问aspx文件都会触发。
在其中加入如下代码,功能见注释:
   

   4:然后添加读取验证用户是否存在的访问数据库代码,和获得用户角色的代码。
      详细码略,这里主要争对三张表写出获得用户角色的存储过程