在ASP.NET中如何用C#.NET实现基于表单的验证 翻译:mydotnet
这篇文章引用到了Microsoft .NET类库中的以下名空间: System.Data.SqlClient System.Web.Security ------------------------------- 任务: 摘要: 1.要求 2.用Visual C#.NET 创建一个ASP.NET 应用程序 3.在Web.config文件里配置安全设置 4.创建一个数据库表样例来存放用户资料 5.创建Logon.aspx页面 6.编写事件处理代码来验证用户身份 7.创建一个Default.aspx页面 8.附加提示 参考文章 ------------------------------- 摘要 这篇文章示范了如何实现通过数据库存储用户信息来实现基于表单的验证. (一)要求 需要以下工具来实现 1.Microsoft Visual Studio.NET 2.Microsoft Internet Information Services(IIS) version 5.0 或者更新 3.Microsoft SQL Server (二)用C#.NET创建ASP.NET应用程序 1.打开Visual Studio.NET 2.建立一个新的ASP.NET Web应用程序,并且指定名称和路径. (三)在Web.config文件里配置安全设置 这一节示范了如何通过添加和修改<authentication>和<authorization>节点来配置ASP.NET应用程序以实现基于表单的验证. 1.在解决方案窗口里,打开Web.config文件. 2.把authentication模式改为Forms(注:默认为windows) 3.插入<Forms>标签,并且填入适当的属性.(请链接到在文章最后列出的MSDN文档或者QuickStart文档来查看这些属性)先复制下面的代码,接着再把它粘贴到<authentication>节:
<authentication mode="Forms"> <form name=".ASPXFORMSDEMO" loginUrl="logon.aspx" protection="All" path="/" timeout="30"/> </authentication> (注:如果不指定loginUrl,默认为default.aspx)
4.通过加入以下节点实现拒绝匿名访问: <authentication> <deny users="?"/> <allow users="*"/> </authentication>
(四)创建一个数据库表样例来存放用户资料 这一节示范了如何创建一个示例数据库来存放用户名,密码,和用户角色.如果你想要实现基于角色的安全就有必要在数据库中添加一个存放用户角色的字段. 1.打开记事本。 2.把下面这段脚本复制到记事本然后保存:
if exists (select * from sysobjects where id = object_id(N''''[dbo].[Users]'''') and OBJECTPROPERTY(id, N''''IsUserTable'''') = 1) drop table [dbo].[Users] GO CREATE TABLE [dbo].[Users] ( [uname] [varchar] (15) NOT NULL , [Pwd] [varchar] (25) NOT NULL , [userRole] [varchar] (25) NOT NULL , ) ON [PRIMARY] GO ALTER TABLE [dbo].[Users] WITH NOCHECK ADD CONSTRAINT [PK_Users] PRIMARY KEY NONCLUSTERED ( [uname] ) ON [PRIMARY] GO
INSERT INTO Users values(''''user1'''',''''user1'''',''''Manager'''') INSERT INTO Users values(''''user2'''',''''user2'''',''''Admin'''') INSERT INTO Users values(''''user3'''',''''user3'''',''''User'''') GO 3.打开Microsoft SQL Server,打开查询分析器,在数据库列表里选择Pubs数据库,然后把上面的脚本粘贴过来,运行。这时会在Pubs数据库里创建一个将会在这个示例程序中用到的示例用户表。 (五)创建Logon.aspx页面 1.在已创建好的项目里创建一个新的Web 窗体,名为Logon.aspx。 2.在编辑器里打开Logon.aspx,切换到HTML视图。 3.复制下面代码,然后在编辑菜单里“选择粘贴为HTML”选项,插入到<form>标签之间。 <h3> <font face="Verdana">Logon Page</font> </h3> <table> <tr> <td>Email:</td> <td><input id="txtUserName" type="text" runat="server"></td> <td><ASP:RequiredFieldValidator ControlToValidate="txtUserName" Display="Static" ErrorMessage="*" runat="server" ID="vUserName" /></td> </tr> <tr> <td>Password:</td> <td><input id="txtUserPass" type="password" runat="server"></td> <td><ASP:RequiredFieldValidator ControlToValidate="txtUserPass" Display="Static" ErrorMessage="*" runat="server" ID="vUserPass" /> </td> </tr> <tr> <td>Persistent Cookie:</td> <td><ASP:CheckBox id="chkPersistCookie" runat="server" autopostback="false" /></td> <td></td> </tr> </table> <input type="submit" Value="Logon" runat="server" ID="cmdLogin"><p></p> <asp:Label id="lblMsg" ForeColor="red" Font-Name="Verdana" Font-Size="10" runat="server" />
这个页面用来显示一个登录表单以便用户可以提供他们的用户名和密码,并且记录到应用程序中。 4.切换到设计视图,保存这个页面。
(六)编写事件处理代码来验证用户身份 下面这些代码是放在后置代码页里的(Logon.aspx.cs) 1.双击Logon页面打开Logon.aspx.cs文件。 2.在后置代码文件里导入必要的名空间: using System.Data.SqlClient; using System.Web.Security; 3.创建一个ValidateUser的函数,通过在数据库中查找用户来验证用户的身份。(请改变数据库连接字符串来指向你的数据库) private bool ValidateUser( string userName, string passWord ) { SqlConnection conn; SqlCommand cmd; string lookupPassword = null;
// Check for invalid userName. // userName must not be null and must be between 1 and 15 characters. if ( ( null == userName ) || ( 0 == userName.Length ) || ( userName.Length > 15 ) ) { System.Diagnostics.Trace.WriteLine( "[ValidateUser] Input validation of userName failed." ); return false; }
// Check for invalid passWord. // passWord must not be null and must be between 1 and 25 characters. if ( ( null == passWord ) || ( 0 == passWord.Length ) || ( passWord.Length > 25 ) ) { System.Diagnostics.Trace.WriteLine( "[ValidateUser] Input validation of passWord failed." ); return false; }
try { // Consult with your SQL Server administrator for an appropriate connection // string to use to connect to your local SQL Server. conn = new SqlConnection( "server=localhost;Integrated Security=SSPI;database=pubs" ); conn.Open();
// Create SqlCommand to select pwd field from users table given supplied userName. cmd = new SqlCommand( "Select pwd from users where uname=@userName", conn ); cmd.Parameters.Add( "@userName", SqlDbType.VarChar, 25 ); cmd.Parameters["@userName"].Value = userName;
// Execute command and fetch pwd field into lookupPassword string. lookupPassword = (string) cmd.ExecuteScalar();
// Cleanup command and connection objects. cmd.Dispose(); conn.Dispose(); } catch ( Exception ex ) { // Add error handling here for debugging. // This error message should not be sent back to the caller. System.Diagnostics.Trace.WriteLine( "[ValidateUser] Exception " + ex.Message ); }
// If no password found, return false. if ( null == lookupPassword ) { // You could write failed login attempts here to event log for additional security. return false; }
// Compare lookupPassword and input passWord, using a case-sensitive comparison. return ( 0 == string.Compare( lookupPassword, passWord, false ) );
} (注:这段代码的意思是先判断输入的用户名和密码是否符合一定的条件,如上,如果符合则连接到数据库,并且根据用户名来取出密码并返回密码,最后再判断取出的密码是否为空,如果不为空则再判断取出的密码和输入的密码是否相同,最后的false参数为不区分大小写)
4.在cmdLogin_ServerLick事件里使用下面两种方法中的一种来产生表单验证的cookie并将页面转到指定的页面。 下面提供了两种方法的示例代码,根据你的需要来选择。 a)在cmdLogin_ServerClick事件里调用RedirectFromLoginPage方法来自动产生表单验证cookie且将页面定向到一个指定的页面。 private void cmdLogin_ServerClick(object sender,System.EventArgs e) { if(ValidateUser(txtUserName.value,txtUserPass.Value))
FormsAuthentication.RedirectFromLoginPage(txtUserName.Value,chkPresistCookie.Checked); else Response.Redirect("logon.aspx",true);
}
b)产生加密验证票据,创建回应的cookie,并且重定向用户。这种方式给了更多的控制权去让你如何去创建cookie,你也可以连同FormsAuthenticationTicket一起包含一些自定义的数据。 private void cmdLogin_ServerClick(object sender,System.EventArgs e) { if(ValidateUser(txtUserName.value,txtUserPass.Value)) { FormsAuthenticationTicket tkt; string cookiestr; HttpCookie ck; tkt=new FormsAuthenticationTicket(1,txtUserName.value,DateTime.Now,DateTime.Now.AddMinutes(30),chkPersistCookie.Checked,"your custom data"); //创建一个验证票据 cookiestr=FormsAuthentication.Encrypt(tkt);//并且加密票据 ck=new HttpCookie(FormsAuthentication.FormsCookieName,cookiestr);// 创建cookie if(chkpersistCookie.Checked) //如果用户选择了保存密码 ck.Expires=tkt.Expiratioin;//设置cookie有效期 ck.Path=FormsAuthentication.FormsCookiePath;//cookie存放路径 Response.Cookies.Add(ck); string strRedirect; strRedirect=Request["ReturnUrl"]; if(strRedirect==null) strRedirect="default.aspx"; Response.Redirect(strRedirect,true); } else Reponse.Redirect("logon.aspx",true); } 5.请确保在InititalizeComponent方法里有如下代码: this.cmdLogin.ServerClick += new System.EventHandler(this.cmdLogin_ServerClick);   [1] [2] 下一页 [C语言系列]NET 中C#的switch语句的语法 [系统软件]托拽Explore中的文件到VB.net的窗口 [系统软件]Boost库在XP+Visual C++.net中的安装 [常用软件]新配色面板:Paint.Net3.0RC1官方下载 [常用软件]用内建的“Net Meeting”聊天 [VB.NET程序]Henry的VB.NET之旅(三)—共享成员 [VB.NET程序]Henry的VB.NET之旅(二)—构造与析构 [VB.NET程序]Henry的VB.NET之旅(一)—失踪的窗体 [VB.NET程序]在托盘上显示Balloon Tooltip(VB.NET) [VB.NET程序]Henry手记-VB.NET中动态加载Treeview节点(二)
|