本节为本软件开发的最后一节,主要是设置软件的权限。在ASP.NET2.0中,身份的验证有多种方式,然而Windows和Passprot几乎都不实用。Windows身份验证是基于Windows账户和NTFS ACL令牌的,可以在内联网或一些外联网环境中有效的使用,但在更多的实际运行环境中,Windows身份验证是不合适的,因为访问此Web程序的用户不可能都拥有该应用程序域的Windows帐户。而Passport并不是免费的,要求更严格的安全措施,主要对电子商务等站点才更合适一些,比如:在开发了一个并不是特别重要的Web应用程序之后,在进行验证时,需要你先期对用户验证进行付费,你能够接受吗?
目前在使用身份验证中,最合适的就是Form验证了,通过在程序中进行设置,在用户访问时首先重定向到一个登录的页面上,在输入用户的凭据并成功的进行了验证之后,再重定向到所请求的页面中。而身份信息的保存就要依靠数据库中的身份表了。在本软件中,使用已经在数据库中生成的用户表,并且不再对用户表的维护进行设置,只是演示一种身份验证的方法。
请先在此表内输入一条合法的记录,在用户登录时,将使用此信息进行用户的验证,示例中输入的登录名为admin,口令与登录名称相同,且口令未经加密。
在ASP.NET2.0中,在窗体验证的方式内提供了一个管理用户账户的方法类MemberShip,通过对此类的继承并实现相应的方法后,来解决身份登录的问题,在继承的方法中,实现验证方法ValidateUser:
2 {
3 bool isExists = false;
4 UserClass user = new DALClass().User_GetValue(username);
5 if (user != null)
6 {
7 if (user.Yhkl == password)
8 isExists = true;
9 }
10 return isExists;
11 }
12
打开web.config文件,修改应用程序的验证方式,将默认的Windows验证方式改为Forms方式,并拒绝显示除指定页外的任何页面信息:
<forms loginUrl="Default.aspx"/>
</authentication>
<authorization>
<deny users="?"/>
</authorization>
为应用程序指定身份验证类:
<providers>
<add name="MProvider" type="MProvider, App_Code"/>
</providers>
</membership>
最后一步,设置在用户匿名的状态也,也可以使用的资源,比如图片等相关的资源等,如果不进行设置,图片将不能显示、级联样式表也不会被应用程序找到:
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
<location path="images">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
<location path="getPic.aspx">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
以下为程序运行时的状态:
1、未登录:
2、登录用户错误:
3、正确登录页面:
经过设置,在用户退出登录的状态下,即使输入单独的页面地址,程序仍将指向登录的页面,等待用户的登录。
《完》