• 蛙蛙推荐:一套.net窗体身份验证方案(解决了防止用户重复登陆,session超时等问题)


     

    一.      设置web.config相关选项

    先启用窗体身份验证和默认登陆页,如下。

    <authentication mode="Forms">

           <forms loginUrl="default.aspx"></forms>

    </authentication>

    设置网站可以匿名访问,如下

    <authorization>

               <allow users="*" />

    </authorization>

    然后设置跟目录下的admin目录拒绝匿名登陆,如下。注意这个小节在System.Web小节下面。

         <location path="admin">

           <system.web>

               <authorization>

                  <deny users="?"></deny>

               </authorization>

           </system.web>

    </location>

    http请求和发送的编码设置成GB2312,否则在取查询字符串的时候会有问题,如下。

    <globalization requestEncoding="gb2312" responseEncoding="gb2312" />

    设置session超时时间为1分钟,并启用cookieless,如下。

    <sessionState mode="InProc" cookieless="true" timeout="1" />

    为了启用页面跟踪,我们先启用每一页的trace,以便我们方便的调试,如下。

    <trace enabled="true" requestLimit="1000" pageOutput="true" traceMode="SortByTime" localOnly="true" />

    二.      设置Global.asax文件

    处理Application_Start方法,实例化一个哈西表,然后保存在Cache

        protected void Application_Start(Object sender, EventArgs e)

        {

           Hashtable h=new Hashtable();

           Context.Cache.Insert("online",h);

    }

        Session_End方法里调用LogoutCache()方法,方法源码如下

    /// <summary>

        /// 清除Cache里当前的用户,主要在Global.asaxSession_End方法和用户注销的方法里调用      /// </summary>

        public void LogoutCache()

        {

           Hashtable h=(Hashtable)Context.Cache["online"];

           if(h!=null)

           {

               if(h[Session.SessionID]!=null)

               h.Remove(Session.SessionID);

               Context.Cache["online"]=h;

           }

    }

    三.      设置相关的登陆和注销代码

    登陆前调用PreventRepeatLogin()方法,这个方法可以防止用户重复登陆,如果上次用户登陆超时大于1分钟,也就是关闭了所有admin目录下的页面达到60秒以上,就认为上次登陆的用户超时,你就可以登陆了,如果不超过60秒,就会生成一个自定义异常。在Cache["online"]里保存了一个哈西表,哈西表的key是当前登陆用户的SessionID,Value是一个ArrayList,这个ArrayList有两个元素,第一个是用户登陆的名字第二个元素是用户登陆的时间,然后在每个admin目录下的页刷新页面的时候会更新当前登陆用户的登陆时间,而只admin目录下有一个页打开着,即使不手工向服务器发送请求,也会自动发送一个请求更新登陆时间,下面我在页面基类里写了一个函数来做到这一点,其实这会增加服务器的负担,但在一定情况下也是一个可行的办法.

    /// <summary>

           /// 防止用户重复登陆,在用户将要身份验证前使用

           /// </summary>

           /// <param name="name">要验证的用户名字</param>

           private void PreventRepeatLogin(string name)

           {

               Hashtable h=(Hashtable)Cache["online"];

               if(h!=null)

               {

                  IDictionaryEnumerator e1=h.GetEnumerator();

                  bool flag=false;

                  while(e1.MoveNext())

                  {                

                      if((string)((ArrayList)e1.Value)[0]==name)

                      {

                         flag=true;

                         break;

                      }

                  }

                  if(flag)

                  {

                      TimeSpan ts=System.DateTime.Now.Subtract(Convert.ToDateTime(((ArrayList)e1.Value)[1]));

                      if(ts.TotalSeconds<60)

                         throw new oa.cls.MyException("对不起,你输入的账户正在被使用中,如果你是这个账户的真正主人,请在下次登陆时及时的更改你的密码,因为你的密码极有可能被盗窃了!");

                      else

                         h.Remove(e1.Key);       

                  }

               }

               else

               {

                  h=new Hashtable();

               }

               ArrayList al=new ArrayList();

               al.Add(name);

               al.Add(System.DateTime.Now);

               h[Session.SessionID]=al;

               if(Cache["online"]==null)

               {

                  Context.Cache.Insert("online",h);

               }else

                  Cache["Online"]=h;         

        }

    用户注销的时候调用上面提到LogoutCache()方法

    四.      设置admin目录下的的所有页面的基类

    using System;

    using System.Web;

    using System.Web.UI;

    using System.Web.UI.WebControls;

    using System.Web.UI.HtmlControls;

    using System.Collections;

    namespace oa.cls

    {

        public class MyBasePage : System.Web.UI.Page

        {

           /// <summary>

           /// 获取本页是否在受保护目录,我这里整个程序在OA的虚拟目录下,受保护的目录是admin目录

           /// </summary>

           protected bool IsAdminDir

           {

               get

               {

                  return Request.FilePath.IndexOf("/oa/admin")==0;

               }

           }

           /// <summary>

           /// 防止session超时,如果超时就注销身份验证并提示和转向到网站默认页

           /// </summary>

           private void PreventSessionTimeout()

           {

               if(!this.IsAdminDir) return;

               if(Session["User_Name"]==null&&this.IsAdminDir)

               {            

                  System.Web.Security.FormsAuthentication.SignOut();

                  this.Alert("登陆超时",Request.ApplicationPath)

               }

           }

           /// <summary>

           /// 每次刷新本页面的时候更新Cache里的登陆时间选项,在下面的OnInit方法里调用.

           /// </summary>

           private void UpdateCacheTime()

           {

               Hashtable h=(Hashtable)Cache["online"];

               if(h!=null)

               {

                  ((ArrayList)h[Session.SessionID])[1]=DateTime.Now;

               }

               Cache["Online"]=h;

           }

           /// <summary>

           /// 在跟踪里输出一个HashTable的所有元素,在下面的OnInit方法里调用.以便方便的观察缓存数据

           /// </summary>

           /// <param name="myList"></param>

           private void TraceValues( Hashtable myList) 

           {

               IDictionaryEnumerator myEnumerator = myList.GetEnumerator();

               int i=0;

               while ( myEnumerator.MoveNext() )

               {

                  Context.Trace.Write( "onlineSessionID"+i, myEnumerator.Key.ToString());

                  ArrayList al=(ArrayList)myEnumerator.Value;

                  Context.Trace.Write( "onlineName"+i, al[0].ToString());

                  Context.Trace.Write( "onlineTime"+i,al[1].ToString());

                  TimeSpan ts=System.DateTime.Now.Subtract(Convert.ToDateTime(al[1].ToString()));

                   Context.Trace.Write("当前的时间和此登陆时间间隔的秒数",ts.TotalSeconds.ToString());

                  i++;

               }

           }

           /// <summary>

           /// 弹出信息并返回到指定页

           /// </summary>

           /// <param name="msg">弹出的消息</param>

           /// <param name="url">指定转向的页面</param>

           protected void Alert(string msg,string url)

           {

               string scriptString = "<script language=JavaScript>alert(/""+msg+"/");location.href=/""+url+"/"</script>";

               if(!this.IsStartupScriptRegistered("alert"))

                  this.RegisterStartupScript("alert", scriptString);

           }

           /// <summary>

           /// 为了防止常时间不刷新页面造成会话超时,这里写一段脚本,每隔一分钟向本页发送一个请求以维持会话不被超时,这里用的是xmlhttp的无刷新请求

           /// 这个方法也在下面的OnInit方法里调用

           /// </summary>

           protected void XmlReLoad()

           {     

               System.Text.StringBuilder htmlstr=new System.Text.StringBuilder();

               htmlstr.Append("<SCRIPT LANGUAGE=/"JavaScript/">");

               htmlstr.Append("function GetMessage(){");

               htmlstr.Append("  var xh=new ActiveXObject(/"Microsoft.XMLHTTP/");");

               htmlstr.Append("  xh.open(/"get/",window.location,false);");

               htmlstr.Append("  xh.send();");

               htmlstr.Append("  window.setTimeout(/"GetMessage()/",60000);");

               htmlstr.Append("}");

               htmlstr.Append("window.onload=GetMessage();");

               htmlstr.Append("</SCRIPT>       ");

               if(!this.IsStartupScriptRegistered("xmlreload"))

                  this.RegisterStartupScript("alert", htmlstr.ToString());

           }

           override protected void OnInit(EventArgs e)

           {

               base.OnInit(e);

               this.PreventSessionTimeout();

               this.UpdateCacheTime();

               this.XmlReLoad();

               if(this.Cache["online"]!=null)

               {

                  this.TraceValues((System.Collections.Hashtable)Cache["online"]);

               }

           }

        }

    }

    五.      写一个自定义异常类

    首先要在跟目录下写一个错误显示页面ShowErr.aspx,这个页面根据传递过来的查询字符串msg的值,在一个Label上显示错误信息。

    using System;

    namespace oa.cls

    {

        /// <summary>

        /// MyException 的摘要说明。

        /// </summary>

        public class MyException:ApplicationException

        {

               /// <summary>

               /// 构造函数

               /// </summary>

               public MyException():base()

               {

               }

               /// <summary>

               /// 构造函数

               /// </summary>

               /// <param name="ErrMessage">异常消息</param>

               public MyException(string Message):base(Message)

               {

                   System.Web.HttpContext.Current.Response.Redirect("~/ShowErr.aspx?msg="+Message);

               }

               /// <summary>

               /// 构造函数

               /// </summary>

               /// <param name="Message">异常消息</param>

               /// <param name="InnerException">引起该异常的异常类</param>

               public MyException(string Message,Exception InnerException):base(Message,InnerException)

               {

               }

           }

    }

    六.总结

    我发现在Session里保存的值,比如session["name"]是没有任何向服务器的请求达到1分钟后就会自动丢失,但是session ID是关闭同一进程的浏览器页面后达1分钟后才会丢失并更换的,因为只要你开着浏览器就会有session ID,无论是在url里保存还是在cookies里。不知道这个结论对不对,反正我在设置了sessiontimeout1分钟后,session["name"]的值已经没有了,可是SessionID还是旧的,Global.asax里的Session_End里的代码也没有执行,而身份验证票据也没有丢失。我不知道这三者之间的关系是怎样的,谁先谁后,好像在<authentication>小节可以设置一个timeout属性,不过项目赶的紧,我没时间研究了。

    以上这些代码比较零散,我花费了2天的时间才总结出来这套方案,不是很完美,但是暂时只能这样了,不能在这方面浪费很多时间了,大家可以把上面的代码组织到一个类里,然后把方法都修改成静态方法方便调用。

    最后大家有什么建议和改进的意见欢迎和我交流。

    可以通过将会话标识符添加到 URL 来跟踪会话。
             若要禁用 Cookie,请设置 sessionState cookieless="true"。
        -->
        <sessionState
                mode="StateServer"             //就是修改这里为“StateServer”
                stateConnectionString="tcpip=127.0.0.1:42424"
                sqlConnectionString="data source=127.0.0.1;Trusted_Connection=yes"
                cookieless="false"
                timeout="30"
        />

    2。打开“控制面板--管理工具--服务”,找到ASP.NET State Service这个服务,将其设为自动启动。

     蛙蛙推荐:一套.net窗体身份验证方案(解决了防止用户重复登陆,session超时等问题)  
    一.      设置web.config相关选项 
    先启用窗体身份验证和默认登陆页,如下
    <authentication mode="Forms"> 
           
    <forms loginUrl="default.aspx"></forms> 

    </authentication> 
    设置网站可以匿名访问,如下 
    <authorization> 

               <allow users="*" /> 
    </authorization> 

    然后设置跟目录下的admin目录拒绝匿名登陆,如下。注意这个小节在System.Web小节下面
         
    <location path="admin"> 

           <system.web> 
               
    <authorization> 
                  
    <deny users="?"></deny> 
               
    </authorization> 

          </system.web> </location> 
    把http请求和发送的编码设置成GB2312,否则在取查询字符串的时候会有问题,如下。
    <globalization requestEncoding="gb2312" responseEncoding="gb2312" /> 
    设置session超时时间为1分钟,并启用cookieless,如下。 
    <sessionState mode="InProc" cookieless="true" timeout="1" /> 
    为了启用页面跟踪,我们先启用每一页的trace,以便我们方便的调试,如下。
    <trace enabled="true" requestLimit="1000" pageOutput="true" traceMode="SortByTime" localOnly="true" /> 

    二.      设置Global.asax文件 
    处理Application_Start方法,实例化一个哈西表,然后保存在Cache里 

        protected void Application_Start(Object sender, EventArgs e) 
        

           Hashtable h=new Hashtable(); 
           Context.Cache.Insert(
    "online",h); 
    }
     
        在Session_End方法里调用LogoutCache()方法,方法源码如下 
    /// <summary> 

        /// 清除Cache里当前的用户,主要在Global.asax的Session_End方法和用户注销的方法里调用     

     /// </summary> 
        
    public void LogoutCache() 

        
           Hashtable h
    =(Hashtable)Context.Cache["online"]; 

           if(h!=null
           

               
    if(h[Session.SessionID]!=null
               h.Remove(Session.SessionID); 
               Context.Cache[
    "online"]=h; 

         } 
    }
     

    三.      设置相关的登陆和注销代码 
    登陆前调用PreventRepeatLogin()方法,这个方法可以防止用户重复登陆,如果上次用户登陆超时大于1分钟,也就是关闭了所有admin目录下的页面达到60秒以上,就认为上次登陆的用户超时,你就可以登陆了,如果不超过60秒,就会生成一个自定义异常。在Cache[
    "online"]里保存了一个哈西表,哈西表的key是当前登陆用户的SessionID,而Value是一个ArrayList,这个ArrayList有两个元素,第一个是用户登陆的名字第二个元素是用户登陆的时间,然后在每个admin目录下的页刷新页面的时候会更新当前登陆用户的登陆时间,而只admin目录下有一个页打开着,即使不手工向服务器发送请求,也会自动发送一个请求更新登陆时间,下面我在页面基类里写了一个函数来做到这一点,其实这会增加服务器的负担,但在一定情况下也是一个可行的办法. 
    /// <summary> 
           
    /// 防止用户重复登陆,在用户将要身份验证前使用 

           /// </summary> 

         /// <param name="name">要验证的用户名字</param> 

           private void PreventRepeatLogin(string name) 

           
               Hashtable h
    =(Hashtable)Cache["online"]; 
               
    if(h!=null
               

                  IDictionaryEnumerator e1
    =h.GetEnumerator(); 

                 bool flag=false
                  
    while(e1.MoveNext()) 

                  {                 

                      if((string)((ArrayList)e1.Value)[0]==name) 

                      
                         flag
    =true

                         break

                      } 

                  } 
                  
    if(flag) 
                  

                      TimeSpan ts
    =System.DateTime.Now.Subtract(Convert.ToDateTime(((ArrayList)e1.Value)[1])); 

                      if(ts.TotalSeconds<60
                         
    throw new oa.cls.MyException("对不起,你输入的账户正在被使用中,如果你是这个账户的真正主人,请在下次登陆时及时的更改你的密码,因为你的密码极有可能被盗窃了!"); 

                      else 
                         h.Remove(e1.Key);       

                 } 

               } 
               
    else 
               

                  h
    =new Hashtable(); 
               }
     





               ArrayList al
    =new ArrayList(); 





               al.Add(name); 





               al.Add(System.DateTime.Now); 





               h[Session.SessionID]
    =al; 





               
    if(Cache["online"]==null





               






                  Context.Cache.Insert(
    "online",h); 





               }
    else 





                  Cache[
    "Online"]=h;          





        }
     





    用户注销的时候调用上面提到LogoutCache()方法 





    四.      设置admin目录下的的所有页面的基类 





    using System; 





    using System.Web; 





    using System.Web.UI; 





    using System.Web.UI.WebControls; 





    using System.Web.UI.HtmlControls; 





    using System.Collections; 






     


     



     


     



     


     



     


     


    namespace oa.cls 











        
    public class MyBasePage : System.Web.UI.Page 





        







     


     


           
    /// <summary> 





           
    /// 获取本页是否在受保护目录,我这里整个程序在OA的虚拟目录下,受保护的目录是admin目录 





           
    /// </summary> 






           
    protected bool IsAdminDir 





           






               
    get 





               






                  
    return Request.FilePath.IndexOf("/oa/admin")==0





               }
     





           }
     






     


     


           
    /// <summary> 





           
    /// 防止session超时,如果超时就注销身份验证并提示和转向到网站默认页 





           
    /// </summary> 






           
    private void PreventSessionTimeout() 





           






               
    if(!this.IsAdminDir) return





               
    if(Session["User_Name"]==null&&this.IsAdminDir) 





               
    {             





                  System.Web.Security.FormsAuthentication.SignOut(); 





                  
    this.Alert("登陆超时",Request.ApplicationPath) 





               }
     





           }
     





           
    /// <summary> 





           
    /// 每次刷新本页面的时候更新Cache里的登陆时间选项,在下面的OnInit方法里调用. 





           
    /// </summary> 






           
    private void UpdateCacheTime() 





           






               Hashtable h
    =(Hashtable)Cache["online"]; 





               
    if(h!=null





               






                  ((ArrayList)h[Session.SessionID])[
    1]=DateTime.Now; 





               }
     





               Cache[
    "Online"]=h; 





           }
     





           
    /// <summary> 





           
    /// 在跟踪里输出一个HashTable的所有元素,在下面的OnInit方法里调用.以便方便的观察缓存数据 





           
    /// </summary> 





           
    /// <param name="myList"></param> 






           
    private void TraceValues( Hashtable myList)  





           






               IDictionaryEnumerator myEnumerator 
    = myList.GetEnumerator(); 





               
    int i=0





               
    while ( myEnumerator.MoveNext() ) 





               






                  Context.Trace.Write( 
    "onlineSessionID"+i, myEnumerator.Key.ToString()); 





                  ArrayList al
    =(ArrayList)myEnumerator.Value; 





                  Context.Trace.Write( 
    "onlineName"+i, al[0].ToString()); 





                  Context.Trace.Write( 
    "onlineTime"+i,al[1].ToString()); 

                  TimeSpan ts
    =System.DateTime.Now.Subtract(Convert.ToDateTime(al[1].ToString())); 
                   Context.Trace.Write(
    "当前的时间和此登陆时间间隔的秒数",ts.TotalSeconds.ToString()); 

                 i++

               } 
           }
     

           
    /// <summary> 
           
    /// 弹出信息并返回到指定页
           
    /// </summary> 
           
    /// <param name="msg">弹出的消息</param>
           
    /// <param name="url">指定转向的页面</param>

           
    protected void Alert(string msg,string url) 
           

               
    string scriptString = "<script language=JavaScript>alert(/""+msg+"/");location.href=/""+url+"/"</script>"
               
    if(!this.IsStartupScriptRegistered("alert")) 
                  
    this.RegisterStartupScript("alert", scriptString); 
           }

           
    /// <summary> 
           
    /// 为了防止常时间不刷新页面造成会话超时,这里写一段脚本,每隔一分钟向本页发送一个请求以维持会话不被超时,这里用的是xmlhttp的无刷新请求 
           
    /// 这个方法也在下面的OnInit方法里调用
           
    /// </summary> 

           
    protected void XmlReLoad() 
           
    {      
               System.Text.StringBuilder htmlstr
    =new System.Text.StringBuilder(); 

               htmlstr.Append("<SCRIPT LANGUAGE=/"JavaScript/">"); 
               htmlstr.Append(
    "function GetMessage(){"); 
               htmlstr.Append(
    "  var xh=new ActiveXObject(/"Microsoft.XMLHTTP/");"); 
               htmlstr.Append(
    "  xh.open(/"get/",window.location,false);"); 

               htmlstr.Append("  xh.send();"); 
               htmlstr.Append(
    "  window.setTimeout(/"GetMessage()/",60000);"); 
               htmlstr.Append(
    "}"); 
               htmlstr.Append(
    "window.onload=GetMessage();"); 
               htmlstr.Append(
    "</SCRIPT>       "); 
               
    if(!this.IsStartupScriptRegistered("xmlreload")) 

                  this.RegisterStartupScript("alert", htmlstr.ToString()); 
           }
     

           
    override protected void OnInit(EventArgs e) 
           

               
    base.OnInit(e); 
               
    this.PreventSessionTimeout(); 

               this.UpdateCacheTime(); 
               
    this.XmlReLoad(); 
               
    if(this.Cache["online"]!=null

               {
                  
    this.TraceValues((System.Collections.Hashtable)Cache["online"]); 
               }

           }
     
        }
     
    }
     
    五.      写一个自定义异常类 
    首先要在跟目录下写一个错误显示页面ShowErr.aspx,这个页面根据传递过来的查询字符串msg的值,在一个Label上显示错误信息
    using System;
    namespace oa.cls 
    {

        
    /// <summary> 
        
    /// MyException 的摘要说明。 
        
    /// </summary> 

        
    public class MyException:ApplicationException 
        

               
    /// <summary> 
               
    /// 构造函数 
               
    /// </summary>

               public MyException():base() 
               
    {            } 

               
    /// <summary> 
               
    /// 构造函数 
               
    /// </summary> 

               /// <param name="ErrMessage">异常消息</param> 
               
    public MyException(string Message):base(Message) 
               

                   System.Web.HttpContext.Current.Response.Redirect(
    "~/ShowErr.aspx?msg="+Message); 
               }
     
               
    /// <summary> 
               
    /// 构造函数 

               /// </summary> 

               /// <param name="Message">异常消息</param> 
               
    /// <param name="InnerException">引起该异常的异常类</param> 

               
    public MyException(string Message,Exception InnerException):base(Message,InnerException)
               

               }
     
           }
     
    }
     
    六.总结 
    我发现在Session里保存的值,比如session[
    "name"]是没有任何向服务器的请求达到1分钟后就会自动丢失,但是session ID是关闭同一进程的浏览器页面后达1分钟后才会丢失并更换的,因为只要你开着浏览器就会有session ID,无论是在url里保存还是在cookies里。不知道这个结论对不对,反正我在设置了session的timeout为1分钟后,session["name"]的值已经没有了,可是SessionID还是旧的,Global.asax里的Session_End里的代码也没有执行,而身份验证票据也没有丢失。我不知道这三者之间的关系是怎样的,谁先谁后,好像在<authentication>小节可以设置一个timeout属性,不过项目赶的紧,我没时间研究了。 
    以上这些代码比较零散,我花费了2天的时间才总结出来这套方案,不是很完美,但是暂时只能这样了,不能在这方面浪费很多时间了,大家可以把上面的代码组织到一个类里,然后把方法都修改成静态方法方便调用。 
    最后大家有什么建议和改进的意见欢迎和我交流。 

  • 相关阅读:
    c# udp局域网通信
    wpf 空白汉字占位符
    直角三角形知道变长求夹角
    windowsphone 的IsolatedStorageSettings存储类型
    WPFUIElement的Background的问题
    oracle外表
    oracle安装
    数据库ddl,dml,dcl
    OLTP与OLAP的介绍
    四种XML解析方式详解
  • 原文地址:https://www.cnblogs.com/wenrenhua08/p/3993639.html
Copyright © 2020-2023  润新知