[基于表单的验证.docVIP

《16.1　基于表单的验证》 1. 目标概述 [2分钟] 2 2. 回顾 [5分钟] 2 3. 课程知识点讲解 2 3.1. 安全性的概念 [45分钟] 2 3.2. 实现基于表单的验证 [125分钟] 4 4. 小结 [3分钟] 6 5. 考核点 7 6. 作业答案 7 7. 扩展练习 7 8. 学生问题汇总 7 9. 教学后记 8 本节目标 本节中将讲述如下主要内容： 安全性的概念 实现基于表单（Forms）的身份认证 通过教学使学生掌握表单验证的实现方法。 本节重点 安全性的概念 实现基于表单（Forms）的身份认证 本节难点 授课课时 4课时 教法建议 目标概述 [2分钟] 本节主要讲述表单验证的实现方法。 回顾 [5分钟] 回顾上一章的相关知识。 课程知识点讲解 安全性的概念 [45分钟] 引入： 主题： （1）Web应用程序面临的安全威胁 电子欺骗：指以未经授权的方式模拟用户或进程登录或使用系统。 篡改：指在未经授权的情况下更改或删除资源。 否认：指拒绝承认已发生的操作。 信息泄露：指偷窃或泄露应该保密的信息。 拒绝服务：指故意导致应用程序的可用性降低。 提升权限：指使用恶意手段获取比正常分配的权限更多的权限。 （2）ASP.NET应用程序的安全架构 （3）安全检查的处理流程 ASP.NET中安全检查的执行流程: 实现基于表单的验证 [125分钟] 引入： 主题： （1）Forms验证的处理流程 Forms验证，有时也称为窗体验证或表单验证，它是在应用开发时最常用的身份验证方式，该种方式可以把用户验证信息灵活的保存到Web.Config文件、XML文件或数据库表等多种存储结构中。使用该种方式开发人员可以轻松的实现一个用户注册和认证系统。Forms验证依赖于浏览器Cookie来确定用户的身份，当用户向服务器请求资源时，Web服务器将从用户机器的Cookie中提取认证信息，如果认证信息不存在，则将页面重定向到应用系统的登录页面，如果用户输入了一个有效的用户名和相应的密码，则将自动把该用户重定向到最初的页面。 （2）Forms身份验证所涉及的类 Forms身份验证需要使用System.Web.Security命名空间中的以下几个类 FormsAuthentication类：包含了用于执行表单验证的多个静态方法，下面列出几个常用的公共方法 public static bool Authenticate(string name, string password); //根据所提供的用户名和密码进行身份认证校验 public static void RedirectFromLoginPage(string userName,// 用于验证的用户名 bool createPersistentCookie);//是否创建Cookie //将已验证身份的用户重定向回最初请求的 URL public static void SignOut(); //退出登录 FormsAuthenticationTicket类：表示针对表单验证的Cookie所使用的授权令牌，下面是几个常用的属性。 CookiePath属性：验证令牌Cookie的路径 Expiration属性：验证令牌Cookie过期的日期 Expired属性：表示当前验证令牌是否过期 IsPersistent属性：表示验证令牌是否存储在持久性的Cookie中 IssueDate属性：表示包含令牌的Cookie的创建日期 Name属性：与令牌有关的用户名 FormsIdentity类：表示通过表单验证后的用户身份，下面是几个常用的属性。 IsAuthenticated属性：表示是否已通过验证 Name属性：已通过验证的用户名 Ticket属性：获取与当前请求关联的 FormsAuthenticationTicket。 FormsAuthenticationModule类：用于表单验证的真正模块，其 Authenticate事件：定义在身份验证过程中引发的事件。 （3）实现表单验证 要为应用程序启用基本的表单验证，必须完成如下三个步骤： 1．修改应用程序根Web.Config文件中authentication配置节来应用程序设置验证模式。 [示例讲解] 示例16.1.1 使用 authentication 标签设定身份验证的用户名和密码示例 2．通过修改适当目录下的Web.Config文件中的authorization配置节来拒绝匿名用户访问应用程序中的一个或多个目录。 [示例讲解] 示例16.1.2 使用authorization标签实现指定用户授权 3．创