我使用Authentication的一点心得

类别:.NET开发 点击:0 评论:0 推荐:


我写了一个例子程序.第一次使用基于Froms的验证.首先假设用户登陆成功(这个一般从数据库得到验证).
然后写入验证票据Authentication.以后的页面中判断这个用户是否通过验证,如果没有,重定向到用户登陆页面.如果已经登陆,则执行业务逻辑.本文重点在讨论Authentication在角色验证中的使用.对其他方面不与关注.
步骤如下:

一.在用户登陆按扭事件中加入以下代码:

这段代码主要是在用户登录后写入Cookie.
private void Button1_Click(object sender, System.EventArgs e)
  {
   string username=TextBox1.Text.Trim();
   string roles="Admin";

   //生成验证票据对象.
   FormsAuthenticationTicket authTicket=new FormsAuthenticationTicket(
    1,
    username,
    DateTime.Now,DateTime.Now.AddMinutes(20),
    false,
    roles);
      //加密验证票
   string encrytedTicket=FormsAuthentication.Encrypt(authTicket);
   //生成Cookie对象.
   //FormsAuthentication.FormsCookieName取得WebConfig中<Authentication>
   //配置节中Name的值作为Cookie的名字.
   HttpCookie authCookie=new HttpCookie(FormsAuthentication.FormsCookieName,
    encrytedTicket);
   Response.Cookies.Add(authCookie);
      
   //跳转到用户的初试请求页.
   Response.Redirect(FormsAuthentication.GetRedirectUrl(username,false));
   
  }
二.在Global.asax.cs 的Application_AuthenticateRequest事件中添加如下代码:
//获取用户的角色。
   string cookieName=FormsAuthentication.FormsCookieName;//从验证票据获取Cookie的名字。
           
   //取得Cookie.
   HttpCookie authCookie=Context.Request.Cookies[cookieName];

   if(null == authCookie)
   {
    return;
   }
      FormsAuthenticationTicket authTicket = null;
           
   //获取验证票据。
   authTicket = FormsAuthentication.Decrypt(authCookie.Value);

   if(null == authTicket)
   {
    return;
   }

   //验证票据的UserData中存放的是用户角色信息。
   //UserData本来存放用户自定义信息。此处用来存放用户角色。
   string[] roles = authTicket.UserData.Split(new char[] {','});

   FormsIdentity id=new FormsIdentity(authTicket);

   GenericPrincipal principal=new GenericPrincipal(id,roles);

   //把生成的验证票信息和角色信息赋给当前用户.
   Context.User=principal;
三.以后的各个页面中通过HttpContext.Current.User.Identity.Name判断用户标识,
  HttpContext.Current.User.IsInRole("Admin")判断用户是否属于某一角色(或某一组)

四.WebConfig的修改:
 <authentication mode="Forms" >
    <forms name="MyAppFormsAuth" loginUrl="LoginTest.aspx" protection="All" timeout="20" path="/"></forms>
    </authentication>
上面这段大家都明白的了,我不多说了.主要是下面这段配置.
如果你在虚拟目录中有一个文件夹.这个文件夹只能由某些组访问.那么就可以向下面这样设置.
<!-- 设置对本地目录的访问。如果验证票据未通过,则无法访问
 -->
 <location path="Admin">
  <system.web>
   <authorization>
    <!-- Order and case are important below -->
    <allow roles="Admin"/>
    <deny users="*"/>
   </authorization>
  </system.web>
 </location>


这样,你就可以使用基于角色的窗体身份验证了.
我的一点浅见,共享出来,欢迎大家批评.

本文地址:http://com.8s8s.com/it/it41729.htm