用户和角色管理.ppt

第9章 用户和角色管理 本章要点： 了解Windows验证；掌握Forms验证 掌握网站管理工具的应用 掌握登录系列控件的应用 掌握常用的Membership和Roles类的方法 目录 9.1 身份验证和授权 9.1.1 Windows验证 9.1.2 Forms验证 9.2 成员资格和角色管理概述 9.2.1 成员资格管理 9.2.2 角色管理 9.3 利用网站管理工具实现成员资格和角色管理 目录 9.4 利用登录系列控件建立安全页 9.4.1 Login控件 9.4.2 CreateUserWizard控件 9.4.3 LoginName控件 9.4.4 LoginStatus控件 9.4.5 LoginView控件 9.4.6 ChangePassword控件 9.4.7 PasswordRecovery控件 9.5 调用Membership类和Roles类进行用户角色管理 9.6 小结 9.1 身份验证和授权 身份验证：要告知服务器发出请求的用户是谁。 授权：需确定用户能访问哪些资源。 身份验证方式：Windows验证、Passport验证、None验证和Forms验证。 9.1.1 Windows验证 基于Windows操作系统用户和用户组，适合于企业内部站点使用。 要运用Windows验证，服务器端和客户端都必须是Windows操作系统，且Web服务器的硬盘格式必须是NTFS。 9.1.1 Windows验证（续） Windows验证方式依靠IIS来执行所需的用户验证，包括匿名身份验证、集成Windows身份验证、Windows域服务器的摘要身份验证和基本身份验证等。 访问WindowsIdentity和WindowsPrincipal对象可获取验证用户的信息。 需配合使用Windows的NTFS访问控制列表（ACL）。 配置网站Windows验证 右击某站点→“属性”→“目录安全性”→单击“身份验证和访问控制”中“编辑” 配置网站Windows验证（续） 在Windows中新建一个用户组，例如“Website”。在“Website”组中创建若干用户。 设置站点对应文件夹的授权。 配置网站Windows验证（续） 配置站点的web.config文件，代码如下： system.web authentication mode=Windows / identity impersonate=true / /system.web 配置网站Windows验证（续） 在联网的另一台计算机访问站点中网页时，要求输入用户名和密码。通过身份验证后才能访问相应的网页。 9.1.2 Forms验证 适合于Internet站点，是多数Web应用程序使用的方式。 Forms验证本身并不能进行验证，只是使用自定义的用户界面收集用户信息，再通过自定义代码实现验证。 在使用时，需配合使用ASP.NET成员资格和角色管理。其中，成员资格用于管理用户，角色用于管理授权。 9.1.2 Forms验证（续） 用户利用Forms验证访问受保护资源步骤 用户请求受保护的网页，如Default.aspx； ASP.NET调用Forms验证服务获取用户请求，并检查其中是否包含用户凭据； 如果未发现任何用户凭据，将自动转向用户登录页面，如Login.aspx； 初次请求的网页地址Default.aspx将以ReturnUrl值（ReturnUrl是QueryString中的键值对）的形式，附加在登录网页Login.aspx的地址后。当用户通过验证后，ASP.NET将根据ReturnUrl值把页面重定向到Default.aspx。 9.1.2 Forms验证（续） Forms验证的配置 authentication mode=Forms forms name=Hstear loginUrl=Login.aspx timeout=40 / /authentication forms配置节属性说明表 forms配置节属性说明表（续） 9.1.2 Forms验证（续） FormsAuthentication类：该类提供的属性与forms配置节中的属性有对应关系，可以通过访问类的属性获取forms配置节中的属性值。还有，该类提供的方法能够管理Forms验证，如RedirectFromLoginPage()将经过身份验证的用户重定向到最初请求的URL；RedirectToLoginPage()将未经过身份验证的用户重定向到登录页面等。 9.2 成员资格和角色管理概述 成员资格管理功能与登录控件和Forms验证结合使用，可以提供完善的用户管理功能。 配合使用角色管理，可以较