asp.net Webconfig

Web.config
<!--
说明:
1.所有的配置都必须被放在<configuration>和</configuration>标记之中.
2.<appSettings>和</appSettings>之间是自定义配置,通常用来自己设置一些常量,Add添加常量,Key是常量的名称,
   value是常量的值.
   <appSettings>
     <add key="con" value="server=.;database=northwind;uid=sa;pwd=;"></add>
   </appSettings>
在程序中可以用System.Configuration.ConfigurationSettings.AppSettings["con"]取值
SqlConnection con=new SqlConnection(System.Configuration.ConfigurationSettings.AppSettings["con"]);
con.Open();
SqlCommand cmd=new SqlCommand("select * from employees",con);
this.DataGrid1.DataSource=cmd.ExecuteReader();
this.DataGrid1.DataBind();

3.<system.web>和</system.web>之间的标记是关于整个应用程序的设置.
如 <pages buffer="true"/> 使用页缓冲
4.<location>和</location>是一个区域标记.Path="aaa"表示下面的设置只对该文件有效.
-->

customErrors设置(在<system.web>和</system.web>之间)
语法
<customErrors
defaultRedirect="url"
mode="On|Off|RemoteOnly">
<error statusCode="statuscode" redirect="url"/>
</customErrors>
身份验证和授权
身份验证类型: WINDOWS 描述: WINDOWS 身份难作为默认的身份验证模式.用于任何形式的IIS身份验证
身份验证类型: FORMS 描述: 基于APS.NET窗体的身份验证作为默认的身份验证模式
身份验证类型: PASSPORT 描述:Microsoft Passport身份验证作为默认的身份验证模式
身份验证类型: NONE 描述: 没有身份验证.用于匿名用户和可以提供其自己的身份验证的应用程序.
<configuration>
<system.web>
<authentication mode="Windows|Forms|Passport|None">?
    <forms name="name" loginUrl="url"
      protection="All|NOne|Encryption"
      timeout="xx" path="/">?
       <credentials passwordFormat="Clear|SHA1|MD5">
        <user name="用户名" password="密码"/>
       </credentials>
      </forms>?
     <passport redirectUrl="internal"/>?
    </authentication>
</system.web>
</configuration>

//基于forms先把IIS中该应用的匿名访问去掉
<forms>标记的属性
属性      选项          描述
name       None        登录身份验证的Cookie名称
loginUrl   None        登录页URL.如果没有身份验证Cookie,客户端将被重定向到此URL
protection ALL         应用程序同时使用数据验证和加密来保护Cookie
           None        加密和验证都禁用
timeout                一段时间(按分钟计),这段时间之后身份验证Cookie将到期,默认值为30
path                   由应用程序发布的Cookie的路径.默认值是反斜杠(/)

//login.aspx
登录代码
//连接数据库进行验证
if(true)//用户名是否合法
{
// System.Web.Security.FormsAuthentication.SetAuthCookie(this.TextBox1.Text,false);//指定的用户名写入到Cookie中(false临时Cookie,true永久Cookie)
// Response.Redirect("");
System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.TextBox1.Text,false);//转到用户原访问的页
//如果为true,可用System..Web.Security.FormsAuthentication.SignOut();删除,以后又要求登录
}
else
{
Response.Write("用户不合法");
}

//如果用户少的话,可以不用数据库,直接允许/拒绝用户
<authentication mode="Forms"
<forms name="authCre" loginUrl="login.aspx" protection="ALL">
<credentials passwordFormat="Clear">
   <user name="aaa" password="aaa"/>
   <user name="bbb" password="bbb"/>
</credentials>
</forms>
</authentication>
登录代码
private void Button1_Click(object sender,System.EventArgs e)
{
if(System.Web.Security.FormsAuthentication.Authenticate(this.TextBox1.Text,This.TextBox2.Text)
{
//   System.Web.Security.FormsAuthentication.SetAuthCookie(this.TextBox1.Text,true);//此方法需重定向
//   Response.Redirect("WebForm1.aspx");
   System.Web.Security.FormsAuthentication.RedirectFromLoginPage(this.TextBox1.Text,false);//此方法不需要重定向,直接转到原访问页
}
else
{
Response.Write("用户不合法");
}
}
//授权时,通配符*表示任何人,?表示匿名

-------------

14.2.2 ASP.NET配置元素

由14.2.1节的介绍可以看出，ASP.NET应用程序配置文件Web.config中定义了很多配置元素处理程序声明和配置元素处理程序。本节主要介绍这些配置元素。

1．<configuration>

所有Web.config的根元素都是<configuration>标记，在它内部封装了其他所有配置元素。它的语法如下：

<!- configuration settings would go here. -->

</configuration>

2．<configSections>

该配置元素主要用于自定义的配置元素处理程序声明。所有的配置元素处理程序声明都在这部分。它由多个<section>构成。<section>主要有name和type两种属性。

— name：指定配置数据元素的名称。

— type：指定与name属性相关的配置处理程序类。

<configSections>节配置范例如下：

<section name=＂sessionState＂

type=＂System.Web.SessionState.SessionStateSectionHandlers,

System.Web,Version=1.0.3300.0,Culture=neutral,

PublicKeyToken=b03f5f7f11d50a3a＂

</configSections>

</configuration>

3．<appSettings>

在<appSettings>元素中可以定义自己需要的应用程序设置项，这充分反映了ASP.NET应用程序配置具有可扩展性的特点。

<appSettings>节语法如下：

</appSettings>

</configuration>

它的<add>子标记主要有两种属性定义：Key和Value。

— Key：指定该设置项的关键字，便于在应用程序中引用；

— Value：指定该设置项的值。

下面给出一个范例：检索<appSettings>节中的设置。

第一步：在Web.config文件中配置<appSettings>节。

</appSettings>

</configuration>

第二步：在Web页面中检索<appSettings>节的设置。

<html>

<body>

<%=ConfigurationSettings.appSettings(＂appUser＂) %><br>

</body>

</html>

在第二步中，用ConfigurationSettings.appSettings方法调用Web.config文件中的设置，输出结果为“localhost”。

该方法对访问<appSettings>元素中的应用程序设置非常方便，只需要提供检索的设置值对应的关键字即可，如上述代码。

4．<compilation>

该配置节位于<system.Web>标记中，用于定义使用哪种语言编译器来编译Web页面，以及编译页面时是否包含调试信息。它主要对以下4种属性进行设置。

— defaultLanguage：设置在默认情况下Web页面的脚本块中使用的语言。支持的语言有Visual Basic.Net，C#和Jscript。可以选择其中一种，也可以选择多种，方法是使用一个由分号分隔的语言名称列表，如Visual Basic.Net;C#。

— debug：设置编译后的Web页面是否包含调试信息。其值为true时将启用ASPX调试；为false时，不启用，但可以提高应用程序运行时的性能。

— explicit：是否启用Visual Basic显示编译选项功能。其值为true时启用，false时不启用。

— strict：是否启用Visual Basic限制编译选项功能。其值为true时启用，false时不启用。

<compilation>元素配置范例如下：

<system.web>

<compilation

defaultLanguage=＂c#＂

debug=＂true＂

explicit=＂true＂

strict=＂true＂

</system.web>

</configuration>

在<compilation>元素中还可以添加<compiler>，<assemblies>，<namespaces>等子标记，它们的使用可以更好地完成编译方面的有关设置。这里就不再详述了。

5．<customErrors>

该配置元素用于完成两项工作：一是启用或禁止自定义错误；二是在指定的错误发生时，将用户重定向到某个URL。它主要包括以下两种属性。

— mode：具有On，Off，RemoteOnly 3种状态。On表示启用自定义错误；Off表示显示详细的ASP.NET错误信息；RemoteOnly表示给远程用户显示自定义错误。一般来说，出于安全方面的考虑，只需要给远程用户显示自定义错误，而不显示详细的调试错误信息，此时需要选择RemoteOnly状态。

— defaultRedirect：当发生错误时，用户被重定向到默认的URL。

另外，<customErrors>元素还包含一个子标记——<error>，用于为特定的HTTP状态码指定自定义错误页面。它具有以下两种属性。

— statusCode：自定义错误处理程序页面要捕获的HTTP错误状态码。

— redirect：指定的错误发生时，要重定向到URL。

<customErrors>元素配置范例如下：

<system.web>

<customErrors

mode=＂ RemoteOnly＂

defaultRedirect=＂defaultError.aspx＂

<error statusCode=＂400＂

redirect=Errors400.aspx />

<error statusCode=＂401＂

redirect=Errors401.aspx />

</system.web>

</configuration>

6．<globalization>

该配置元素主要完成应用程序的全局配置。它主要包括以下3种属性。

— fileEncoding：用于定义编码类型，供分析ASPX，ASAX和ASMX文件时使用。它可以是下述任何编码类型。

（1）UTF-7：Unicode UTF-7字节编码技术。

（2）UTF-8：Unicode UTF-8字节编码技术，这也是最常用的基于Web的Unicode格式。

（3）UTF-16：Unicode UTF-16字节编码技术。

（4）ASCII：标准ASCII码。

— requestEncoding：指定ASP.NET处理的每个请求的编码类型，其可能的取值与fileEncoding特性相同。

— responseEncoding：指定ASP.NET处理的每个响应的编码类型，其可能的取值与fileEncoding特性相同。

<globalization>节配置范例如下：

<system.web>

<globalization

fileEncoding=＂utf-8＂

requestEncoding=＂utf-8＂

responseEncoding=＂utf-8＂

</system.web>

</configuration>

7．<sessionState>

该配置用于完成ASP.NET应用程序的会话状态设置。它主要有以下5种属性。

— mode：指定会话状态的存储位置。共有Off，Inproc，StateServer和SqlServer 4种状态。Off表示禁用会话状态；Inproc表示在本地保存会话状态；StateServer表示在远程状态服务器上保存会话状态；SqlServer表示在SQL Server中保存会话状态。

— stateConnectionString：用来指定远程存储会话状态的服务器名和端口号。在将模式mode设置为StateServer时，需要用到该属性。默认为本机。

— sqlConnectionString：指定保存状态的SQL Server的连接字符串。在将模式mode设置为SqlServer时，需要用到该属性。

— Cookieless：指定是否不使用客户端cookie保存会话状态。设置为true表示不使用；false为使用。

— timeout：用来定义会话空闲多少时间后将被中止。默认时间一般为20分钟。

<sessionState>节配置范例如下：

<system.web>

<sessionState

mode=＂SqlServer＂

stateConnectionString=＂tcpip=127.0.0.1:8080＂

sqlConnectionString=＂data source=127.0.0.1; user id=sa; password=＂

Cookieless=＂false＂

Timeout=＂25＂

</system.web>

</configuration>

8．<trace>

该配置元素用来实现ASP.NET应用程序的跟踪服务，在程序测试过程中定位错误。其主要属性如下。

— enabled：指定是否启用应用程序跟踪功能。true为启用；false为禁用。

— requestLimit：指定保存在服务器上请求跟踪的个数。默认值为10。

— pageOutput：指定是否在每个页面的最后显示应用程序的跟踪信息。true为显示；false为不显示。

— traceMode：设置跟踪信息输出的排列次序。默认为SortByTime（时间排序），也可以定义为SortByCategory（字母排序）。

— localOnly：指定是否仅在Web服务器上显示跟踪查看器。true为仅在服务器控制台上显示跟踪查看器；false为在任何客户端上都显示跟踪输出信息，而不仅是在Web服务器上。

<trace>元素配置范例如下：

<system.web>

<trace

enabled=＂true＂

requestLimit=＂20＂

pageOutput=＂true＂

traceMode=＂SortByTime＂

localOnly=＂false＂

</system.web>

</configuration>

9．<authentication>

该配置元素主要进行安全配置工作。它最常用的属性是mode，用来控制ASP.NET Web应用程序的验证模式，可以设置为以下任一种值。

— Windows：用于将Windows指定为验证模式。

— Forms：采用基于ASP.NET表单的验证。

— Passport：采用微软的Passport验证。

— None：不采用任何验证方式。

另外，<authentication>元素还有一个子标记<forms>，使用该标记可以对cookie验证进行设置。它包含以下5种属性。

— name：用于验证的cookie名称。如果一台机器上有多个应用程序使用窗体验证，每个应用程序的cookie名称必须不同。

— loginUrl：未通过cookie验证时，将用户重定向到URL。

— protection：指定cookie的数据保护方式。它有All，None，Encryption和Validation共4个值。其中，All（默认值）表示对cookie进行加密和数据验证；None表示不保护cookie，这种网站只将cookie用于个性化，安全要求较低；Encryption表示对cookie进行加密，不进行数据保护；Validation表示对cookie验证数据，不进行加密。

— timeout：指定cookie失效的时间，超时后将需要重新进行登录验证获得新的cookie。单位为分钟。

— path：指定Web应用程序创建的cookie的有效的虚拟路径。

<authentication>元素范例如下：

<system.web>

<forms name=＂.FormsAuthCookie＂

loginUrl=＂login.aspx＂

protection=＂All＂

timeout=＂10＂

path=＂pathForCookie＂

</system.web>

</configuration>

在实际应用中，ASP.NET应用程序的安全配置使用非常广泛，且很有用。

14.2.3 自定义应用程序设置的配置和检索

前面介绍ASP.NET应用程序配置系统的优点时，曾指出该配置系统是可扩展的。用户不仅可以使用系统预定义的元素，还可以在Web.config文件中添加自定义标记，创建自己的配置处理程序和设置。

1．<appSettings>

Web.config文件中有一个可选标记<appSettings>，专门用于存放应用程序设置。该应用程序的任何页面都可以访问到该Web.config文件中的应用程序设置。如果要修改设置，只要在配置文件中进行修改就行，无须逐个修改应用程序的每个页面。

下面请看一个简单的例子，以加深对Web.config文件中扩展应用程序配置信息的理解。

</appSettings>

</configuration>

在上面的Web.config文件中，设置了一个字符串，关键字为MySettings，键值为“扩展应用程序配置信息”。

在.NET类库中有一个System.Configuration.ConfigurationSettings类，利用它可以检索任意配置节的数据信息。ConfigurationSettings类有一个AppSettings属性，利用该属性可以检索<appSettings>节的信息，方法如下：

string sqlconn=ConfigurationSettings.AppSettings["MySettings"];

2．自定义标记

在Web.config文件中并不限于通过预定义的标记<appsettings>来保存配置信息，Web.config的格式也允许用户添加新的自定义标记。在该标记内，可定义新的配置信息。

下面请看实例，创建一个节存储数据库连接字符串。

<section name="OwnSettings"

type="System.Configuration.NamueFileSectionHandler,

System.Web,Version=1.0.3300.0,Culture=neutral,

PublicKeyToken=b77a5c561934e089" />

</configSections>

</OwnSettings>

</configuration>

上述代码的配置过程可以分为两步。

第一步：在<configSections>中，声明了一个新的自定义配置元素处理程序，即声明自定义标记的名称（<OwnSettings>）和类型（System.Configuration.NamueFileSection Handler）。注意，由于自定义标记并不是machine.config文件设定的默认配置，所以需要定义该标记的类型（在自定义标记内，可以使用任何System.Configuration类支持的类型）。

第二步：在<configSections>域之后，为声明的标记（<OwnSettings>）做实际的应用程序配置。

可以使用ConfigurationSettings.GetConfig()方法访问自定义标记。该方法接受自定义标记名称（<OwnSettings>）作为参数，键的名称（＂constring＂）作为标记的属性，方法如下：

string myConn= (string)ConfigurationSettings.GetConfig ("OwnSettings") ["constring"];