[验证码]C# 验证码 【未完待续】

待续内容： Asp.net配置  身份验证几个选项区别；状态管理的几个区别；

原理：

1. 生成随机字符串

2.将字符串存入session，用于后期的比较

3.根据字符串生成图片（干扰，背景）发送给客户端

方法： ValidataCode.aspx  生成验证码图片, Login.aspx 引用Validatacode.aspx

using System;
using System.Collections.Generic;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Drawing;  //画笔，生成图片
namespace _55tuan
{
    public partial class ValidataCode : System.Web.UI.Page
    {
        private void Page_Load(object sender, System.EventArgs e)
        {
            string checkCode = CreateRandomCode(4);
            Session["CheckCode"] = checkCode;
            Session["test"] = "abc";
            
            CreateImage(checkCode);
        }
        private string CreateRandomCode(int codeCount)
        {
            string allChar = "0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,W,X,Y,Z";
            string[] allCharArray = allChar.Split(',');
            string randomCode = "";
            int temp = -1;

            Random rand = new Random();
            for (int i = 0; i < codeCount; i++)
            {
                if (temp != -1)
                {
                    rand = new Random(i * temp * ((int)DateTime.Now.Ticks));     //种子不同可以让随机数不同
                }
                int t = rand.Next(35);        
                if (temp == t)
                {
                    return CreateRandomCode(codeCount);
                }
                temp = t;
                randomCode += allCharArray[t];
            }
            return randomCode;
        }

        private void CreateImage(string checkCode)
        {
            int iwidth = (int)(checkCode.Length * 11.5);
            System.Drawing.Bitmap image = new System.Drawing.Bitmap(iwidth, 20);
            Graphics g = Graphics.FromImage(image);
            Font f = new System.Drawing.Font("Arial", 10, System.Drawing.FontStyle.Bold);
            Brush b = new System.Drawing.SolidBrush(Color.White);
            //g.FillRectangle(new System.Drawing.SolidBrush(Color.Blue),0,0,image.Width, image.Height);
            g.Clear(Color.Blue);
            g.DrawString(checkCode, f, b, 3, 3);

            Pen blackPen = new Pen(Color.Black, 0);
            Random rand = new Random();
            for (int i = 0; i < 5; i++)
            {
                int y = rand.Next(image.Height);
                g.DrawLine(blackPen, 0, y, image.Width, y);
            }

            System.IO.MemoryStream ms = new System.IO.MemoryStream();
            image.Save(ms, System.Drawing.Imaging.ImageFormat.Jpeg);
            Response.ClearContent();
            Response.ContentType = "image/Jpeg";
            Response.BinaryWrite(ms.ToArray());
            g.Dispose();
            image.Dispose();
        }

    }
}

Login.aspx        <asp:Image ID="imgValidatacode" runat="server"  ImageUrl="~/ValidataCode.aspx"/>

                             onclick="this.src=this.src+'?'"          --换验证码无刷新

验证：

if (Session["CheckCode"].ToString() != validatacode)
{
    messagebox("验证码不对！");
    return;
}

访问Login.aspx页面后，页面返回一个ASP.NET_SessionId=uujiui45uxmum43bg3y5km45;

这个sessionid 标志客户端的session的值寸在服务器端内存中的位置。

例如本例中：session["CheckCode"] 的值就存放在 服务端内存中 ASP.NET_SessionId=uujiui45uxmum43bg3y5km45的位置。（一个客户端的多个session只分配一个sessionid）

验证码验证后的处理

验证码验证后，要立刻更改，防止在session有效期内，仍被使用。

打个比方：有人尝试破解用户密码。第一次获取验证码 为  ABCD,如后台在验证后不修改session的值。
那么黑客可以一直尝试用ABCD这个验证码，去尝试不同的密码登录，直到验证码过期。

在引用验证码的页面修改session的值，而不是等到ValidataCode页面重新加载修改session的值

1）验证码对，立即更改session中的值。改为session["CheckCode"]=null;

2）验证码输入错误，应立即更改session中的值,session["CheckCode"]=null;

验证码session的过期时间限制

1）

全局网站（即服务器）级

IIS－网站－属性－Asp.net－编辑配置－状态管理－会话超时（分钟）－

设置为120,即为2小时，即120分钟后如果当前用户没有操作，那么Session就会自动过期。

这个时间是自最后一次用户访问网站的时间

 

2）

网站级

IIS－网站－具体网站（如DemoSite）－属性－Asp.net,此时有两个选项，一个是“编辑全局配置”，一个是“编辑配置”。

如果“编辑全局配置”，就和上个配置一样。

如果“编辑配置”，则只对当前网站生效。因为一个服务器可能有很多独立网站。

1、继续选择“状态管理”－会话超时（分钟）－设置为360，即360分钟。效果同上，只不过只对当前网站生效。

2、身份认证－Forms－Cooke超时，选择"12:00:00",即12个小时。可选项共有以下八项：

00:15:00

00:30:00

01:00:00

02:00:00

04:00:00

08:00:00

12:00:00

1:00:00:00

即最长24小时，最小15分钟。这是默认的配置。在应用中可以自由定制。

3)

应用程序级

同网站管理，只不过作用域仅限当前应用程序。

4)

页面级

在某页面中，设置Session.Timeout = 30;即可临时修改某页面的会话过期时间。

查看某个Session的过期时间，可以用

view plaincopy to clipboardprint?
TimeSpan SessTimeOut = new TimeSpan(0, 0, System.Web.HttpContext.Current.Session.Timeout, 0, 0);
TimeSpan SessTimeOut = new TimeSpan(0, 0, System.Web.HttpContext.Current.Session.Timeout, 0, 0);

其中，二和三的设置，体现在Web.config中即：

view plaincopy to clipboardprint?
<?xml version="1.0"?>
<configuration>
<system.web>
<authentication mode="Forms" >
<forms name="AuthLogin" loginUrl="/Login.aspx" protection="All" timeout="360" slidingExpiration="true"/>
</authentication>
<sessionState mode="InProc"  cookieless="false" timeout="20" />
</system.web>
<location path="Login.aspx">
<system.web>
<authorization>
<allow users="*" />
</authorization>
</system.web>
</location>
</configuration> 
<?xml version="1.0"?>
<configuration>
<system.web>
<authentication mode="Forms" >
<forms name="AuthLogin" loginUrl="/Login.aspx" protection="All" timeout="360" slidingExpiration="true"/>
</authentication>
<sessionState mode="InProc"  cookieless="false" timeout="20" />
</system.web>
<location path="Login.aspx">
<system.web>
<authorization>
<allow users="*" />
</authorization>
</system.web>
</location>
</configuration>

以上四处设置的优先级为页面级>应用程序级>网站级>服务器级。换句话说，如果页面设置为20分钟，网站设置为120分钟，那么，显然以20分钟为生效的过期时间。

另外一个值得注意 的地方。

在设置二处，设置会话超时(SessionState)120分钟，而同时用forms认证，设置为“00:15:00”,即15分钟，并且slidingExpirationo为false，则真正生效的Session过期时间是多少呢？

有效的结果是SessionState的设置，即120分钟。

如果有设置Session过期时间没有生效的，请检查以上几处配置。