9 用户和角色管理.pptVIP

第9章 用户和角色管理 本章要点： 了解Windows验证；掌握Forms验证 掌握网站管理工具的应用 掌握登录系列控件的应用 掌握常用的Membership和Roles类的方法 了解Profile的应用 安全 到目前为止,我们设计的网站都没有考虑安全问题—— 用一种安全策略阻止非授权用户访问特定内容。-----验证(authentication) 允许用户注册 为不同角色用户配置访问权限(授权, authorization).如指定特定用户为Web站点管理员并授予特殊管理权限。 9.1 身份验证和授权 ASP.NET中可以设置4种身份验证方式： Windows验证 Forms验证 Passport验证 None验证 一、 Windows验证 基于Windows操作系统用户和用户组，适合于企业内部站点使用。 要运用Windows验证，服务器端和客户端都必须是Windows操作系统，且Web服务器的硬盘格式必须是NTFS。 Windows验证方式依靠IIS来执行所需的用户验证，包括匿名身份验证、集成Windows身份验证、Windows域服务器的摘要身份验证和基本身份验证等。 通过System.Security.Principal名称空间中的WindowsIdentity、WindowsPrincipal类可以获取验证用户的信息。 配置网站Windows验证 配置站点的web.config文件，代码如下： system.web authentication mode=Windows / identity impersonate=true / //模拟IIS认证帐号，即使用经过IIS认证的帐号执行应用程序 /system.web 二、 Forms验证 它是面向Internet的Web应用程序的常用方案。 通过窗体（表单）中的控件和代码实现验证。 在使用时，需配合使用ASP.NET成员（membership）资格和角色（role）管理。其中，成员资格用于管理用户，角色用于管理授权。 配置 Forms验证 authentication mode=Forms forms name=.ASPXFORMSAUTH loginUrl=Login.aspx timeout=40 / /authentication forms配置节属性说明 forms配置节属性说明（续） 9.2 Login控件 大家先思考一下，如果我们自己设计登录控件，需要完成哪些功能？ 一、Login控件 二、CreateUserWizard控件 也可以选择format或者编辑模板，以修改注册页面的显示效果。 注意：要将web.config文件中的authentication mode 设置为Forms 1.关于注册控件的默认设置 密码至少7个字符，且要包含一个非字母数字字符，否则将不被接受。 需要填写安全问题和答案，用来找回密码。 注册成功后自动登录（可以将LoginCreatedUser 设置为false来修改设个默认设置） 2.问题： 无论是登录、注册页面还是Web.config都没有数据源控件或者和数据连接、引用有关的设置，这些控件是如何访问数据的？ 如果要修改密码格式的设置，应该怎么处理？ machine.config 默认存放在C:\Windows\Microsoft.NET\ Framework \v4.0.3****下 connectionStrings add name=LocalSqlServer connectionString=data source=.\SQLEXPRESS;Integrated Security=SSPI; AttachDBFilename=|DataDirectory|aspnetdb.mdf; User Instance=true providerName=System.Data.SqlClient/ /connectionStrings membership定义 system.web …… membership providers add name=AspNetSqlMembershipProvider type=System.Web.Security.SqlMembershipProvider, System.Web, Version=, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a connectionStringName=LocalSqlServer enablePasswordRetrieval=false enablePasswordReset=true requiresQues