本节为本软件开发的最后一节,主要是设置软件的权限。在ASP.NET2.0中,身份的验证有多种方式,然而Windows和Passprot几乎都不实用。Windows身份验证是基于Windows账户和NTFS ACL令牌的,可以在内联网或一些外联网环境中有效的使用,但在更多的实际运行环境中,Windows身份验证是不合适的,因为访问此Web程序的用户不可能都拥有该应用程序域的Windows帐户。而Passport并不是免费的,要求更严格的安全措施,主要对电子商务等站点才更合适一些,比如:在开发了一个并不是特别重要的Web应用程序之后,在进行验证时,需要你先期对用户验证进行付费,你能够接受吗?
目前在使用身份验证中,最合适的就是Form验证了,通过在程序中进行设置,在用户访问时首先重定向到一个登录的页面上,在输入用户的凭据并成功的进行了验证之后,再重定向到所请求的页面中。而身份信息的保存就要依靠数据库中的身份表了。在本软件中,使用已经在数据库中生成的用户表,并且不再对用户表的维护进行设置,只是演示一种身份验证的方法。
请先在此表内输入一条合法的记录,在用户登录时,将使用此信息进行用户的验证,示例中输入的登录名为admin,口令与登录名称相同,且口令未经加密。
在ASP.NET2.0中,在窗体验证的方式内提供了一个管理用户账户的方法类MemberShip,通过对此类的继承并实现相应的方法后,来解决身份登录的问题,在继承的方法中,实现验证方法ValidateUser:
public override bool ValidateUser(string username, string password)2
{
3
bool isExists = false;4
UserClass user = new DALClass().User_GetValue(username);5
if (user != null)6
{
7
if (user.Yhkl == password)8
isExists = true;9
}10
return isExists;11
}12
打开web.config文件,修改应用程序的验证方式,将默认的Windows验证方式改为Forms方式,并拒绝显示除指定页外的任何页面信息:
<authentication mode="Forms"> <forms loginUrl="Default.aspx"/> </authentication> <authorization> <deny users="?"/> </authorization>为应用程序指定身份验证类:
<membership defaultProvider="MProvider"> <providers> <add name="MProvider" type="MProvider, App_Code"/> </providers> </membership>最后一步,设置在用户匿名的状态也,也可以使用的资源,比如图片等相关的资源等,如果不进行设置,图片将不能显示、级联样式表也不会被应用程序找到:
<location path="StyleSheet.css"> <system.web> <authorization> <allow users="*"/> </authorization> </system.web> </location> <location path="images"> <system.web> <authorization> <allow users="*"/> </authorization> </system.web> </location> <location path="getPic.aspx"> <system.web> <authorization> <allow users="*"/> </authorization> </system.web> </location>以下为程序运行时的状态:
1、未登录:
2、登录用户错误:
3、正确登录页面:
经过设置,在用户退出登录的状态下,即使输入单独的页面地址,程序仍将指向登录的页面,等待用户的登录。
《完》