第14章角色及成员.pptVIP

第14章 角色及成员资格管理 如今网络世界的安全性，已成为一件十分头痛的事情。为了网站的安全及用户管理，许多网站至少需要一个用户注册、用户登录及用户管理的系统。但如果单凭一个用户名及用户密码，对网站的安全性起不了关键性作用。在ASP.NET 2.0之后，.NET推出特有的安全管理机制——角色及成员管理。通过这个安全管理机制，网站将根据用户的角色控制用户访问网站和使用网站的功能。这个安全管理机制不但提高了网站的安全性，同时也提高了程序员开发网站安全管理系统的速度。 14.1 认识ASP.NET的安全管理系统 网络应用程序的安全管理常常不依赖于Windows中的用户和组的管理，而是依赖于用户的表单登录、向服务器发送登录凭证、服务器根据其凭证返回用户访问网站的权限分配。ASP.NET的安全管理系统不单单依赖于这个凭证管理认证，而是加入一整套现成的安全凭证管理结构，使程序员更为方便快捷地开发用户及角色管理系统。 14.1.1 ASP.NET安全管理机制 ASP.NET使用一套安全管理机制，管理用户访问、向用户授权，管理用户登录凭证。程序员通过这个安全管理机制可以更方便地进行应用程序的开发。ASP.NET这套安全管理机制，依赖于ASP.NET的成员和角色管理对象模型。 14.1.2 什么是角色与成员资格 成员是指网站的用户。成员资格是指程序中提供了一套完整的用户管理系统，如用户注册、用户登录、用户找回密码等。通过这些成员资格程序，程序员也可以十分方便地进行用户管理系统。ASP.NET中也提供了许多成员资格管理的配套控件。通过这些控件，程序员可以无需进行任何程序代码开发，就能实现一个用户管理系统。 14.2 角色与成员的配置 ASP.NET的用户管理系统不同于其他的管理系统，具有十分严密的安全管理机制。如果要使站点能够支持这种安全机制，必须进行特殊配置。 14.2.1 角色与成员的基本配置 ASP.NET中，要实现角色与成员管理，需要进行一些基本配置，让网站能够支持角色成员管理系统。基本配置包括，配置表单认证、启用角色、创建用户、角色等。 14.2.2 在IIS中配置角色与成员 通过14.2.1节的配置工作，网站基本上就可以使用角色和成员管理系统了。但由于其设置是基于默认配置进行的，为了使ASP.NET的应用程序更具有个性化，有必要对其安全配置进一步配置角色与成员。 14.3 掌握登录控件 完成上面的创建配置工作之后，就需要开发适应该角色及成员管理的应用程序。如要开发这样的应用程序肯定要开发许多代码。但为了方便程序员开发，Microsoft提供了适合角色及成员管理的一套登录控件。使程序员可以在不用代码的情况下开发应用程序。 14.3.1 创建登录页面 用户登录是网站需要的一个常用功能，用户可以根据该控件输入用户名及密码进行登录。ASP.NET下的登录控件为Login，是一个方便用户输入用户名、密码进行登录的服务器控件。但ASP.NET的登录控件除了用于用户登录后，还把用户的登录信息存储到实内存中，以方便应用程序根据这个登录信息，确定用户的访问权限。 14.3.2 实现用户注册页面 用户注册是网站接受会员的一种方式。用户只有在注册之后，才可以通过登录页面进行登录。在ASP.NET推出用户注册控件之前，要实现这样的功能需要开发大量的程序代码。而现在，通过ASP.NET的注册控件，可以在不用代码的情况下实现用户注册页面功能。 14.3.3 实现分组显示登录信息页面 网站中的用户主要分为管理员、注册用户、匿名用户。当然可以对用户进行更细的角色分组管理。这里要实现的分组显示登录信息页面，就是根据用户的角色以显示不同的信息页面。如果是匿名用户，则显示登录页面；如果是一般注册用户，则用户登录后显示登录信息；如果是管理员，则登录后显示管理员的登录信息。 14.3.4 实现用户密码遗失寻回页面 许多网站都有这样的用户服务功能：用户忘记密码之后，为用户自动找回密码，并通过邮件方式把密码发送到原来注册的邮箱中。ASP.NET通过PasswordRecovery控件就可以实现这种专业的用户服务功能。 14.3.5 实现用户密码修改页面 用户密码修改页面，是每个有用户管理的网络所必需的一项用户管理功能。就如范例14-5用户找回的密码是由ASP.NET自动生成的一个新密码，该密码十分难记。此时需要用户根据这个密码登录后，再进行密码修改