13.0 c#成员资格和角色管理.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 在system.web配置节中配置如下： 各参数含义如下： loginUrl：未被验证的用户被重定向到的登录页面的URL name：用于身份验证目的的 Cookie 的名称，默认为.ASPXAUTH，特别是一台服务器上有多个网站启用Forms身份验证，必须设定。 timeout：以整数分钟为单位的时间量，超过此时间量， Cookie 将过期。默认值是 30。 5.Forms 身份验证 protection：用于保护 Cookie 数据的方法。有效值如下所示： a. All（默认值），同时使用数据验证和加密来保护Cookie。配置的数据验证算法基于元素。如果三重 DES 可用并且密钥足够长（48 位），则使用三重 DES 进行加密。 b. None，用于仅将 Cookie 用于个性化并且安全要求不高的站点。加密和验证都可以被禁用。尽管以此方式使用Cookie 需谨慎，但对于使用 .NET 框架实现个性化的任何方法，此设置提供了最佳性能。 c. Encryption，使用 TripleDES 或 DES 加密 Cookie，但不对 Cookie 进行数据验证。这类 Cookie 容易受到精心选择的纯文本的攻击。 d. Validation，不加密 Cookie 的内容，但验证 Cookie 数据在传输过程中是否未被更改。若要创建 Cookie，验证密钥在缓冲区中与 Cookie 数据连接，并且计算出 MAC 并将其追加到输出的 Cookie 5.Forms 身份验证 3.设置授权 在web.config中，可以在system.web节的配置节 authorization中为ASP.NET应用程序设置身份验证参数。 可以使用通配符来控制用户的访问： * ：表示任何人 ? ：表示未经身份验证的用户 allow users=”*”/：允许任何人访问 deny users=”*”/：拒绝任何人访问 allow users=”?”/：允许匿名用户访问 deny users=”?”/：拒绝未授权的用户访问 注意：顺序是先写allow，再写deny，不然就会出现问题。 5.Forms 身份验证 5.Forms 身份验证 例如：项目中的所有文件都不允许匿名用户访问 注：授权设置可应用到整个Web应用程序中，除非它们 被包括在location节或网站子目录中web.config文件中。 用户可在authorization节中增加多个allow和deny 节来允许或拒绝对用户和角色的访问。用户或角色的意义 是由ASP.NET Web应用程序配置使用的IIS身份验证类型来 决定的。对于集成Windows身份验证，用户是计算机或域 用户，角色是计算机或域组。 假如要保护单个页面或文件夹，例如注册页面允许所有人访问： 如果是对文件夹，则改成文件夹名 5.Forms 身份验证 四、 FormsAuthentication对象 在身份验证中，所有的客户端请求都被重定向到登录页 面中，该页面是在forms标记的loginUrl属性中所指定的 登录页面，可以创建登录页面和使用FormsAuthentication对 象的方法来核实和检查一个用户的凭据。FormsAuthentication对象 存在于System.Web.Security名称空间中 以下是FormsAuthentication对象需要掌握的方法： 5.Forms 身份验证 1.RedirectFromLoginPage方法 作用：将已验证身份的用户重定向回最初请求的 URL userName：为Forms身份验证目的指定的用户名 createPersistentCookie：若为true，则在用户的计算机上创建一个持久的身份验证Cookie（在客户端系统中写入一个Cookie）；若为false，则创建一个临时的（非持久的）身份验证Cookie，这个Cookie存放在客户端的内存中，在会话结束时将自动移除。 5.Forms 身份验证 2. SetAuthCookie方法 作用：为给定的用户创建一个验证Cookie，并把它连接 到传出响应的Cookie集合，不执行重定向 例如：用户直接访问登录页面（不是重定向到登录），通过 验证后，应