最近在升级一款软件产品,原来是交给一个外包公司做的,质量的方面不做评论。唯一觉得不是很好的是认证方式
没错,用的是基本身份验证,也就是说每次登录要弹出一个巨丑无比的窗口,然后填上Windows的账号登录。如果作为一个内部应用,丑点也就算了,但毕竟这是一款未来将要商用的软件,难道要给每个客户开通一个服务器端的Windows账号吗?这恐怕不太可行。并且涉及到账号权限、过期时间等一系列可扩展的行为将无法或很难实现。所以我就改成了这样
各位看官一看就明白了,我把认证方式改成了Forms认证。这样我们就可以结合Forms认证来进行账号管理、权限等等一系列扩展行为。下面说一下实现吧
一、首先是配置文件,
在Web.config的System.Web节点中增加如下配置
<authentication mode="Forms">
<forms name=".ASPXAUTH" loginUrl="login.aspx" defaultUrl="/" protection="All" timeout="700" path="/" requireSSL="false" slidingExpiration="true" cookieless="UseDeviceProfile" domain="eddy.peng.com" enableCrossAppRedirects="false">
<credentials passwordFormat="SHA1" />
</forms>
</authentication>
具体的属性含义我就不把MSDN的搬过来了,大家可以自行前往查看。需要注意的一点是,如果使用vs右键浏览然后附加进程的方式去debug程序,会发现不能包含“domain”属性的,否则你的调试将无法继续进行下去。
<machineKey validationKey="3FF1E929BC0534950B0920A7B59FA698BD02DFE8" decryptionKey="280450BB36319B474C996B506A95AEDF9B51211B1D2B7A77" decryption="3DES" validation="SHA1" />
machineKey 这个配置是用来配合Forms认证进行cookie加密和解密使用的,如果不配置这个节点,那你的cookie就会明文存在客户端了。
二、配置文件配置好之后,就是写登录代码,然后再判断状态取出用户身份了,流程很清晰,现在把代码贴出来供大家参考
1、写cookie
/// <summary>
/// 用户登录
/// </summary>
/// <param name="userAccount">用户账号</param>
/// <param name="password">密码</param>
/// <returns>登录成功返回True</returns>
public static bool Login(string userAccount, string password)
{
bool result = false;password = Common.Encrypt(password);
using (***DataContext ndc = new ***DataContext())
{
var r = (from u in ndc.Users where u.UserName == userAccount && u.Password == password select u).ToList();if (r.Count > 0)
{
result = true;SetCookies(r[0].UserID, userAccount, r[0].RealName, Convert.ToInt32(r[0].IsAdmin));
}
}return result;
}/// <summary>
/// 设置用户Cookies
/// </summary>
/// <param name="userId">用户ID</param>
/// <param name="userAccount">用户账号</param>
/// <param name="realName">名称</param>
/// <param name="isAdmin">是否是管理员</param>
private static void SetCookies(int userId, string userAccount, string realName, int isAdmin )
{
string AuthCookieContent = string.Format("{0},{1},{2},{3}", userId, userAccount, realName, isAdmin);HttpContext.Current.Response.AddHeader("P3P", "CP=CAO PSA OUR");
FormsAuthentication.SetAuthCookie(AuthCookieContent, false);
}
2、在页面中判断状态,读取用户身份
if (HttpContext.Current.Request.IsAuthenticated)
{
LoginUser user = new LoginUser();string[] authCookies = HttpContext.Current.User.Identity.Name.Split(',');
user.Id = int.Parse(authCookies[0]);
user.Account = authCookies[1];
user.Name = authCookies[2];
user.Role = authCookies[3] == "0" ? UserRole.Common : UserRole.Admin;}
else
{
HttpContext hc = HttpContext.Current;hc.Response.Redirect("/login.aspx?returnurl=" + hc.Request.Url.AbsolutePath);
}
到此,告一段落。
这篇文章只是从实战的角度给大家一个示例,至于更深层次的知识和原理还需要大家通过其他途径获得。
OK,收工。