应用程序开发技术教学课件作者章节忠宪学习单元7保护Web应用程序课件幻灯片.pptVIP

任务2 利用角色授权技术实施应用程序功能的代码级保护 7.2.1 任务场景 比如在任务1中我们设置了网站路径Admin下的所有页面不允许匿名访问，但更具体一点应该是该路径下的页面只允许网站管理员才能访问，而其他的注册用户是不允许访问的。所以在本学习任务中我们要求给用户的属性中添加一个角色特征，让每个用户隶属于某一个角色，如普通用户（User）、管理员用户（Admin）。那么这时用户在访问这些受限的页面时应该验证的信息就不再仅仅是用户名和密码了，而应该包含更严格的信息——“角色”。 在本学习任务中要求，普通的用户在访问诸如购物车、查看订单等页面时需要先进行身份信息验证，跳转至普通用户的登录页面；网站管理员在访问诸如管理订单、管理用户、管理商品信息时应跳转至管理员的登录页面。这里要求普通用户和管理员用户的登录页面不同。 7.2.2 学习引导 在任务1中，我们通过Forms身份验证，实现了将用户的访问限制在某些目录底下。但有时需要将用户分成不同的身份或角色，验证过程不但验证这个用户本身，还要验证用户属于哪个角色。 上面我们讲述的用户验证，只可能有两种情况，要么用户通过验证，可以授权访问资源，要么用户没有通过验证，不能访问需要授权的资源。但是即便是验证通过的用户，可能他们所拥有的权限还需要再进一步区分。例如普通用户和管理员同样是需要验证通过的，但是普通用户显然不能够访问管理页面，而管理员可以。面对这种情况，.NET可以使用基于角色的授权模型。 基于角色的授权的基本原理是，一旦用户验证合法，他们就被分配角色，用户可以使一个或者若干角色，而资源的授权面向角色，这样，针对不同的角色，就可以授予不同的权限，没有某种角色类型的用户试图访问需要这种角色的资源将会被拒绝。 为了限制哪些资源能被哪些角色访问，而哪些资源不能被哪些角色访问。这样我们可以通过在Web.config文件中添加如下配置节： 一. 修改Web.config文件 7.2.3 相关知识与技术 location path=User system.web authorization allow roles=User/ deny users=*/ /authorization /system.web /location location path=Admin system.web authorization allow roles=admin/ deny users=*/ /authorization /system.web /location 说明： location的作用是表示该路径需要进行授权检查。同时不希望任何用户都可以访问Admin文件夹中的页面，因此使用allow roles= admin （admin为角色名）来允许只有角色为admin的用户访问，而其他任何用户都拒绝访问（deny users=*/）。请注意allow和deny配置节的书写顺序。 1．页面加载时先判断是否已有用户票据存在： protected void Page_Load(object sender, EventArgs e) { // 判断如果用户已登录，则直接重定向到用户原始请求的URL if (User.Identity.IsAuthenticated User.IsInRole(user) ||  User.Identity.IsAuthenticated User.IsInRole(admin)) Response.Redirect(FormsAuthentication.GetRedirectUrl(tbName.Text,false)); } 二. 创建一个登录页面login.aspx 7.2.3 相关知识与技术 2．为登录按钮添加事件： protected void Logon_Click(object sender, EventArgs e) { // 假设登录的用户名为：“username”，密码为：“123” if (tbName.Text == username tbPwd.Text == 123) { // 通过用户名获取该用户所属的角色名称 string roles = GetRoleByUserNam