当前位置:首页 -> AI编程基础 -> JAVA

站点页面身份验证问题

2014-11-24 00:57:40 · 作者: · 浏览: 0
标签: 站点 页面 身份 验证 问题

  做网站时往往需要在每个页面验证用户是否已登录,若没登录系统就重定向到登录页面。这个验证的过程在哪做呢?初学者最常用的方法就是在每个页面的Page_Load事件中进行session中用户的验证,即如下代码:


  \


  如果这么做,上面的代码就会出现在站点所有需要身份验证的页面中,代码复制这么多遍就知道不是很好的解决方案。这里就用其它两种方法来解决这个问题。

   方法一:用Global文件

   方法二:用.Net自带的Form(表单)验证

  两种方法实现上述功能都很简单,尤其是.Net自带的Form认证用起来很灵活,对于各种权限问题基本都能解决。下面进行简单描述:


1.方法一:Global文件


  这个很容易想到,因为Global为全局文件,每一请求都会先经过该文件的处理,所以在这里进行身份验证即可代替所有页面内的身份验证了。至于Global文件内的事件及其作用这里不多说。

  直接在站点根目录添加“全局应用程序类(Global.asax)”,如果用Session验证身份就在其的Session_Start事件(本来想写在Application_BeginRequest或者Application_AuthenticateRequest中,不过Application为全局对象应用于整个应用程序,而session为每个用户特有的东西,所以放弃)中添加身份验证代码即可,例如:

    void Session_Start(object sender, EventArgs e) 
    {
         //在新会话启动时运行的代码
        if (Session["user"] == null)
        {
            Response.Redirect("Login.aspx");
        }
    }

  这样就实现了上面的在每个页面进行身份验证的相同功能。(注:上面这样用session进行身份验证的方法都不允许多用户在同一个浏览器进行登录操作)


2. 方法二:.Net自带的表单验证


 2.1 首先,打开web.config文件,在system.web节下加入如下代码:

      
  
        
   
    aspx" protection="All" path="/" timeout="20"/>

   Mode=”Forms” 指定 Web 应用采用表单验证

   name 属性指定验证所需要的 cookie 的名称,默认值是“.ASPXAUTH”,如果在一个服务器上下挂了多个 Web 应用程序,必须重新指定该名称,因为每个应用程序都需要唯一的 cookie。

   loginUrl 属性指定登录用的页面,用于提供用户名和密码,默认值是“login.aspx”。

   defaultUrl 属性指定登入后跳转到的页面,默认值是“default.aspx”,当然你也可以跳转到用户登入前的前一个页面,并且这是 .NET 的默认实现。

   path 属性指定 cookie 的路径,默认值为“/”,指网站的根目录.

   timeout 属性指定用户多长时间不进行操作,身份凭证会过期,以分钟为单位,默认为 30 分钟。

   authorization节中的“allow”表示允许的意思,“*”表示所有用户;而“deny”表示拒绝的意思;“ ”表示匿名用户;此处加入后,则代表根目录下的所有文件和所有的子目录都不能匿名访问,Login.aspx 页面除外


 2.2 然后在“登录”事件的末尾写上如下代码:

FormsAuthentication.RedirectFromLoginPage(userName.Text, false);

  RedirectFromLoginPage方法能发送验证票据验证Cookie,返回请求页面。例如:用户没登录前直接在 IE 地址栏输入 http://localhost/Test/Default.aspx ,那么该用户将看到的是Login.aspx ReturnUrl=Default.aspx ,输入用户名与密码登录成功后,系统将根据“ReturnUrl”的值,返回相应的页面;如果没有“ReturnUrl”,则按照“defaultUrl”的属性自动转向。

 或添加如下代码:

      FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false); 
      Response.Redirect("Default.aspx");

  这里的跳转页面将由程序员自行指定,无需在配置文件指定“defaultUrl”设置。

  例如我的登录事件为如下代码:

        protected void btnLogin_Click(object sender, EventArgs e)
        {
            //模拟一下登录
            if (userName.Text=="admin" && passWord.Text=="123")
            {
                //第一个参数:经过身份验证的用户名。
                //第二个参数:若要创建持久 Cookie(跨浏览器会话保存的 Cookie),则为 true;否则为 false。
                FormsAuthentication.RedirectFromLoginPage(userName.Text, false); 
            }
        }

  前台代码:

    
  

    
   

     用户名:
    
    
 密 码:

  到此就解决上面的问题了。下面简单说一下Form(表单)验证的web.config的配置原则,例如我的项目目录结构如下:


  \


< http://www.2cto.com/kf/ware/vc/" target="_blank" class="keylink">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"brush:java;">

  (2). 直接修改原配置文件,在configuration节下加一个location节,如下为修改后的配置文件:

  若想让根目录下的Default.aspx页面不用经过身份验证,只需将上面location的path属性设为” Default.aspx”即可。

3. 总结

  .NET自带的表单验证,其实质是使用一个特定的 cookie,在每次请求服务器时验证该 cookie 是否存在,从而决定用户是否具有相应的权限。这种方式用起来很方便,也比用session验证的方式安全的多,它还可以实现不同目录的按角色的权限控制,用起来很灵活,有需要的网上找资料即可。