第17讲(身份验证)(免费阅读).pptVIP

* 注意： 由于 IIS 启用了匿名验证，在 Web.config 文件中显式拒绝匿名用户。 * 重点： 体会 Web 应用程序采用 Windows 验证的表现形式。 注意： 教师要控制好速度，以便学生的配合； * 重点： 介绍启用 ASP.NET Forms 身份验证方法的步骤； 设置 Web.config 文件中的验证和授权选项； 使用 FormsAuthentication 对象创建登录用户的验证 Cookie； 创建登录页面； ASP.NET Forms 验证中采用基于角色的安全性； 难点： 正确地使用 FormsAuthentication 对象，控制登录过程； 课堂提问： 采用 Forms 身份验证提供程序的优缺点； 优点： 允许使用任意条件自定义身份验证方案； 可用于身份验证或身份确认； 不需要相应的 Windows 账户； 缺点： 受制于 cookie 生存期的重放攻击，除非使用 SSL/TLS； 仅适用于映射到 Aspnet_isapi.dll 的资源。 * 重点： 启用 ASP.NET 的 Forms 身份验证的方法； 注意： 登录页面最好通过安全套接字层（SSL）保护。 * 注意： FormsAuthentication 对象在 System.Web.Security 命名空间下面； GetAuthCookie 与 SetAuthCookie 的区别。前者为给定的用户名创建身份验证 Cookie，不会将 Cookie 设置为传出响应的一部分，因此应用程序对如何发出该 Cookie 有更多的控制权限；而后者创建身份验证 Cookie并将其附加到 Cookie 的传出响应。 * 注意： 此时密码在网络上以纯文本形式发送，启用 SSL 来降低威胁。 * 注意： 把角色附加在通过验证的用户主体中，增添了请求的负荷。 * 注意： 练习中的凭据不是安全的保存方式，后面将使用数据库来储存。 启用 Forms 身份验证 配置 IIS 启用匿名访问 设置 Web.config 为 Forms 身份验证 设置授权 创建登录页面 1 2 3 4 authentication mode=Forms forms loginUrl=login.aspx / /authentication FormsAuthentication 对象 方法 说明 GetAuthCookie 为给定的用户名创建身份验证 Cookie GetRedirectUrl 返回导致重定向到登录页的原始请求URL RedirectFromLoginPage 创建身份验证 Cookie 并将已验证身份的用户重定向回最初请求的 URL SetAuthCookie 创建身份验证 Cookie 并将其附加到 Cookie 的传出响应 SignOut 删除身份验证 Cookie 创建登录页面 导入 System.Web.Security 命名空间 创建登录页面以验证和检查用户凭据，如果验证通过则重定向 从 Cookie 中重新读取用户凭据 User.Identity.Name 返回FormsAuthentication.RedirectFromLoginPage 保存过的用户标识信息 if (bValidCredentials){ FormsAuthentication.RedirectFromLoginPage _ (strUserName, False) ; } Global.asax 中 Application_AuthenticateRequest 事件 根据通过验证的用户创建角色 把角色附加在通过验证的用户标识中 将基于角色的安全性与 ASP.NET Forms 身份验证一起使用  string[] WebRoles = new string[2]; If(User.Identity.Name = Chris ){ WebRoles(0) = Administrator“; WebRoles(1) = Manager“; } HttpContext.Current.User = New _ System.Security.Principal.GenericPrincipal _ (User.Identity, WebRoles); Visual Basic .NET 例子 C# 例子 课堂练习 使用 ASP.NET Forms 身份验证 教师 打开 IIS 并配置匿名访问验证 配置 Web.config 中的身份验证和授权 打开登录页面并查看源代码 学生 运行 ASP.NET Web 应用程序 时间：10 分钟 * 注意： 加下划线部分为即将讲述的内容。 * 重点： 解释 Web