ASP.NET中登录功能的简单逻辑设计

 ASP.NET中登录功能的简单逻辑设计

---

                              概述

                              逻辑设计

                              1.接收参数

                              2.判断参数合法性

                              3.访问数据库

                              4.保存Session

                              5.保存Cookie

                              6.跳转到指定页面

概述

---

本文介绍的登录功能是一般登录逻辑，不能作为真正项目开发依据！！仅供学习参考！

由于登录功能涉及的知识点较广，这里只抽取部分主要知识点进行浅析，并没有作深入的探讨。

或许很多学.NET的初学者都接触过登录模块的设计：设计前台页面，输入帐号密码后登录，后台接收传过来的帐号密码，判断合法性，根据帐号密码在数据库中查找有没有实体，若有则登录成功；否则，登录失败

嗯，本文介绍的登录逻辑大体如此，但是仍有一些细微的地方让我们做得更好更完善，我希望你阅读此文后，学习到的不仅是登录功能，还有实际项目中我们要注意的地方

逻辑设计

---

先说一个例子：小明要去小红家（做作业呗，别想太多），他认识去小红家的路，小明和小红相互认识，拿着钥匙进屋而不被小红赶走。这就是一个登录过程，缺一不可

客户端（浏览器）：获取用户输入的帐号（如：admin）、密码(如：123)

服务端：判断浏览器发送过来的帐号、密码是否与数据库中存在吻合的数据，执行如下图的逻辑：

                                    1.首先接收浏览器发送过来的帐号（如：admin）、密码(如：123)

                                    2.判断参数是否有非法字符、长度是否超出限制等。若非法，返回到登录页面（小明都不认识路，还做作业个屁啊）

                                    3.此时参数合法了，只是首要条件，它们还需要过数据库这一关。以帐号、密码作为查询条件，在数据库中是否有吻合的数据，若没有，返回登录页面（小明高兴地拿着钥匙进小红家，钥匙对不上或者小红不认识小明都进不了，慢着！小明怎么有小红家的钥匙。。）

                                    4.好吧，帐号密码都对了，登录成功！（他们愉快地一起做作业）（且慢！验证码呢？U盾呢？视网膜？DNA?…这里暂且不考虑0.0）

1. 接收参数 

---

一、服务器控件形式

     通过服务器控件,可以更加方便从后台代码获取对应的属性

     前台页面:

<form runat="server">
   <asp:TextBox ID="txtUserName" runat="server"  placeholder="用户名" title="用户名"></asp:TextBox>
   <br/>
   <asp:TextBox ID="txtPassword" runat="server" TextMode="Password" placeholder="密码" title="密码"></asp:TextBox>
   <br/>
   <asp:Button ID="btnSubmit" runat="server" Text="登 录" OnClick="btnSubmit_Click"/>
</form>

    后台代码:   

protected void btnSubmit_Click(object sender, EventArgs e)
{
            // 获取参数
              string userName = txtUserName.Text.Trim();         //用户名,例如:"admin"
            string userPwd = txtPassword.Text.Trim();            //密码,例如:"123"
}

     在服务器控件中会出现下面两种属性，请不要混淆：

    OnClientClick=“js_Click()”：表示客户端的点击事件，也就是点击的方法js_Click()是前台页面的js方法   

    OnClick=“btnSubmit_Click” ：表示服务器端的点击事件，也就是点击的方法btnSubmit_Click是后台代码的事件的方法名，由于前台页面编译后会生成一个继承后台代码的页面类（涉及aspx生命周期，了解即可），所以方法不能用private修饰！否则无法访问此方法   

    知道他们区别之后我们就可以在事件中写获取参数的代码了

    string userName=txtUserName.Text.Trim();

    txtUserName必须跟服务器控件的ID名称相同！

    有时候用户在输入前、后喜欢敲几下空格，所以每一个严谨的程序员在接收参数的时候都会用Trim()来截断字符串左右包含的空格，这是很好的习惯。

二、普通HTML标签形式

     前台页面

<form method="post" action="/admin/login.aspx">
        <input type="text" name="txtUserName" />
        <br />
        <input type="password" name="txtPassword" />
        <br />
        <input type="submit" value="登录" />
</form>

     当action不指定路径的时候默认提交到当前页面，注意上面例子的请求方式method="post"，请求方式除了“post”之外还有“get”方式，但是登录一般采取post方式,因为如果采取get方式的话，帐号密码会填到url增加不安全性。

例如：../login.aspx?txtUserName=admin&txtPassword=123

     后台代码

protected void Page_Load(object sender, EventArgs e)
{
            if (Request.HttpMethod.ToLower() == "post")//当前请求方式为post
            {
                string userName2 = Request.Form["txtUserName"].Trim();
                string userPwd2 = Request.Form["txtPassword"].Trim();
            }
           else if (Request.HttpMethod.ToLower()=="get")//当前请求方式为get
            {
                string userName2 = Request.QueryString["txtUserName"].Trim();
                string userPwd2 = Request.QueryString["txtPassword"].Trim();
            }
}

      对于两种请求方式，下面有几种获取参数的方法

 

 

 

2. 判断参数合法性 

---

判断参数的合法性，一般可以分为前台验证和后台验证

对于前台验证，我们可以通过一些js插件完成，或者通过增加服务器控件的一些属性来达到前台验证的目的，这里不作说明

对于后台验证，一般来说做非空验证即可

if (string.IsNullOrEmpty(userName)||string.IsNullOrEmpty(userPwd))
{
                Page.ClientScript.RegisterStartupScript(this.GetType(), "", " <script type='text/JavaScript'>alert('请输入用户名和密码') </script>");
                return;
}

不推荐使用Response.Write()这种方式输出脚本
推荐使用Page.ClientScript.RegisterStartupScript(this.GetType(), "", " <script type='text/JavaScript'>alert('请输入用户名和密码') </script>");

3. 访问数据库

---

如果通过上面的验证，接下来我们就可以访问数据库了，这里只简单介绍相关的业务逻辑，对于不懂得访问数据库的同学建议自行了解ADO.NET。

对于简单练习的登录功能，我们可以直接在aspx.cs类中访问数据库

但是实际项目中为了降低模块间的耦合程度，我们建议使用“三层架构”。

 

 

 

接下来我们要在“业务逻辑层（Business Logical Layer）”也就是BLL层对帐号和密码做一些逻辑处理

MD5加密

          为什么采取md5加密？

         MD5算法具有以下特点：

         1、压缩性：任意长度的数据，算出的MD5值长度都是固定的。

         2、容易计算：从原数据计算出MD5值很容易。

         3、抗修改性：对原数据进行任何改动，哪怕只修改1个字节，所得到的MD5值都有很大区别。

         4、弱抗碰撞：已知原数据和其MD5值，想找到一个具有相同MD5值的数据（即伪造数据）是非常困难的。

         5、强抗碰撞：想找到两个不同的数据，使它们具有相同的MD5值，是非常困难的。     ---------来自百度百科

         数据库的用户表的密码一般是用明文密码（例如：“123”）通过md5加密成的md5值。

         所以我们要从数据库读取数据，一定要将明文密码转成md5值才能读取到数据

         虽说系统自带md5算法可以帮我们完成md5加密，但在实际操作中还要注意一个地方

         

           对于第一种方法是不推荐的，黑客可以用常用的明文密码经过md5加密的md5值与数据库中做对比，对比成功就知道明文密码了。

           这是由于md5生成的唯一性。例如：“123456”加密后就一定是“E10ADC3949BA59ABBE56E057F20F883E”

           所以一般项目工程都倾向第二种，通过“密钥”的干扰生成的md5值，即使黑客拿到这个md5值也不知道明文密码，只要他不知道这个“密钥”!

           下面是一个md5的加密方法：

/// <summary> 
        /// 加密数据 MD5
        /// </summary> 
        /// <param name="Text"></param> 
        /// <param name="sKey"></param> 
        /// <returns></returns> 
        public static string Encrypt(string Text, string sKey)
        {
            DESCryptoServiceProvider des = new DESCryptoServiceProvider();
            byte[] inputByteArray;
            inputByteArray = Encoding.Default.GetBytes(Text);
            des.Key = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
            des.IV = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
            System.IO.MemoryStream ms = new System.IO.MemoryStream();
            CryptoStream cs = new CryptoStream(ms, des.CreateEncryptor(), CryptoStreamMode.Write);
            cs.Write(inputByteArray, 0, inputByteArray.Length);
            cs.FlushFinalBlock();
            StringBuilder ret = new StringBuilder();
            foreach (byte b in ms.ToArray())
            {
                ret.AppendFormat("{0:X2}", b);
            }
            return ret.ToString();
        }

 

4. 保存Session

---

在介绍如何保存session之前，先区别缓存、session、cookie他们之间的关系，这可以帮助我们采用适当的保存数据的方式

Cookie:是存在于客户端浏览器的，存少量的数据，属于该浏览器的用户可以访问

Session:是存在于服务器进程中，可以存对象，数据量比cookie大，属于该进程的用户才可以访问

HttpContext.Current.Cache：是存在于服务器内存中，相当于内存，只要能访问该服务器的用户都可以从访问

            那么，可以根据你要分享数据的用户对象，和数据量的大小来采取适当的存储策略

篇幅有限，这里就不详细介绍session的原理。只说明要注意的地方：

Session[CNKeys.SESSION_ADMIN_INFO] = model;
Session.Timeout = 45;

1.Session保存的可以是对象，如果当前Session[CNKeys.SESSION_ADMIN_INFO]为null，就把model对象赋值上去，否则覆盖原来的这里的model对象是指从数据库成功读取的用户数据，包括用户帐号，md5密码，电话，邮箱等等，通过session保存用户对象，我们可以在程序中的任何一个网页通过Session[CNKeys.SESSION_ADMIN_INFO]读取用户的数据，而无需再访问数据库读取用户数据

2.Session默认保存是20分钟，如果这20分钟页面没有任何操作（例如：刷新），则自动销毁；如果有操作则顺延20分钟

3.Session[]中括号里面的是字符串，不建议用Session[“adminInfo”]这种方式，以后要使用的话工作量会加大，且增加出错机会（填错键值）

我们可以先定义一个类CNKeys，在类中定义常量字段SESSION_ADMIN_INFO

   

public class CNKeys
{
      public const string SESSION_ADMIN_INFO="adminInfo";
}

这种方法，利用vs的智能提示可以方便且准确填写键值，以后要修改键名可以直接在类中修改，但是对于已经发布的网站需要重新编译程序，重新发布。

当然你也可以用配置文件配置起来，以后要修改可以直接修改配置文件而无需重新编译程序

5. 保存Cookie

---

Cookie,它是存在于客户端浏览器的。由于浏览器自身可以随意获取，所以不建议保存敏感信息。它的保存方式也是键值对，只保存字符串，但不能保存对象。

HttpCookie cookie = new HttpCookie();
cookie.Name = model.user_name;
cookie.Value = model.user_name;
cookie.Expires = DateTime.Now.AddDays(3);//当前日期的3天后过期            
Response.Cookies.Add(cookie);

为什么要设置cookie？类似于免登录3天，当用户成功登录后，把用户登录名保存到cookie，那么下次再打开浏览器的时候，浏览器就可以根据cookie值发送到服务器自动登录

6. 跳转到指定页面

---

Response.Redirect("index.aspx");

成功登录以后，我们就可以执行上面的代码，跳转到指定页面。

由于最近项目逼得挺紧的（加上年会活动排练囧！！），也很久没有写博客，于是选了“登录”这个题目练练手。毕竟自己还是有思路的

再参考别人的源码和结合自己的经验，这篇博文断断续续写了一个多星期，不容易

对于一些已经在工作的程序员来说，这种简单的登录功能的确很简单，所以比较适合初入ASP.NET的同学。。

欢迎批评点正。