ASPNET学习单元7 保护ASP.NET Web应用程序.pptVIP

学习单元7 保护ASP.NET Web应用程序 任务1 利用表单验证技术实施应用程序功能的目录级保护 “ 588乐购网”分为前台页面和后台管理功能。前台程序按一定的排列方式和显示方式向客户展示商品，并可进一步展示客户所选定商品详细介绍、详细参数，还可以将商品放入到购物车，并且向网站提交订单。后台程序则包括商品产品管理、订单管理等功能。前台程序不需验证授权，一般客户可以自由访问，但是商品产品管理、订单管理等功能只有网站管理员才能使用，因此需要对后台管理系统进行保护，只有通过验证并取得相应权限才可以访问商品网站后台管理程序。 本学习任务要求当用户在试图访问一个不允许匿名访问的后台管理页面时，系统跳转到用户能够提供身份信息的登录页面；当用户提供了一个正确的身份信息后，系统又自动转回用户最初想访问的管理页面。 7.1.1 任务场景 7.1.2 学习引导 1. Forms身份验证一般流程： 7.1.2 学习引导 2. 实现Forms身份验证需要完成以下一些准备工作： 1. 配置Web.config启用Forms验证； 2. 配置授权设置（配置页面是否允许匿名访问）； 3. 登录页面中生成用户票据以便于访问其他页面。 7.1.3 相关知识与技术 Forms身份验证方式的配置： 1. 在Web.config文件中添加authentication配置节，并设置mode属性 configuration system.web authentication mode=“Windows|Forms|Passport|None“ / /system.web /configuration 7.1.3 相关知识与技术 2. mode参数描述： 属性 值 描 述 mode Windows 这是默认的验证模式。它依靠微软的IIS来执行身份验证技术。 Forms 指定验证模式为forms验证作为默认的验证模式。 Passport 指定passport验证模式为默认的验证模式。 None 不指定验证模式。 7.1.3 相关知识与技术 3. forms配置节设置： 当使用Forms身份验证时，需要在Web.config文件的forms配置节中进行相应的设置。 authentication mode=Forms forms name=CookieName“ loginUrl=login.aspx“ protection=All requireSSL=true“ timeout=10 path=/FormsAuth slidingExpiration=true /forms /authentication 7.1.3 相关知识与技术 4. Form属性描述： 属性 值 描述 name CookieName 定义了在终端用户进行了身份验证后发送给他们的cookie的名称。 loginUrl login.aspx 定义了在没有找到任何有效的身份验证Cookie时将页面重定向到登录请求页面的URL上。 protection All 定义了指定应用于cookie的保护级别，该cookie在终端用户通过身份验证后存储在他的机器上。设置值包括：All、None、Encryption和Validation。 requireSSL true 定义了要求证书是否通过加密线路（SSL）发送，还是通过明文发送。 timeout 10 定义了cookie过期的时间（分钟）。默认值是30分钟。 path /FormsAuth 定义了程序调用cookie的路径。 slidingExpiration true 定义了指定cookie的超时是否在可变的范围内。 7.1.3 相关知识与技术 二. 设定用户登录票据： 1.方法1： 把票据存放在数据库中，这时可以写一个方法来检查数据库中该票据是否存在（如定义方法：bool IsLogin（string username，string password））； 2. 方法2： 直接把票据放在Web.config中，该方法适用于用户数量较少的情况。 authentication mode=Forms forms loginUrl=login.aspx credentials passwordFormat=Clear user name=“用户名” password=“密码” / /