サマリー：在做網(wǎng)站的時(shí)候，都會(huì)用到用戶(hù)登錄的功能。對(duì)于一些敏感的資源，我們只希望被授權(quán)的用戶(hù)才能夠訪(fǎng)問(wèn)，這讓然需要用戶(hù)的身份驗(yàn)證。對(duì)于初學(xué)者，通常將用戶(hù)登錄信息存放在Session中，筆者在剛接觸到asp.net的時(shí)候就是這么做的。當(dāng)我將用戶(hù)信息存在在Session中時(shí)，常常會(huì)遇到Session丟失導(dǎo)致用戶(hù)無(wú)法正常訪(fǎng)問(wèn)被授權(quán)的資源，保持用戶(hù)登錄狀態(tài)時(shí)的安全性問(wèn)題，無(wú)休其實(shí)，在asp.net中，我們有更好的解

在做網(wǎng)站的時(shí)候，都會(huì)用到用戶(hù)登錄的功能。對(duì)于一些敏感的資源，我們只希望被授權(quán)的用戶(hù)才能夠訪(fǎng)問(wèn)，這讓然需要用戶(hù)的身份驗(yàn)證。對(duì)于初學(xué)者，通常將用戶(hù)登錄信息存放在Session中，筆者在剛接觸到asp.net的時(shí)候就是這么做的。當(dāng)我將用戶(hù)信息存在在Session中時(shí)，常常會(huì)遇到Session丟失導(dǎo)致用戶(hù)無(wú)法正常訪(fǎng)問(wèn)被授權(quán)的資源，保持用戶(hù)登錄狀態(tài)時(shí)的安全性問(wèn)題，無(wú)休其實(shí)，在asp.net中，我們有更好的解決方案，那就是通過(guò)Forms身份驗(yàn)證，從而對(duì)用戶(hù)進(jìn)行授權(quán)，這種方法可以輕松的保持用戶(hù)的登錄狀態(tài)（如果用戶(hù)想這樣），便捷的用戶(hù)授權(quán)配置，增強(qiáng)的安全性等好處。廢話(huà)不再多說(shuō)，下面我們來(lái)做一個(gè)簡(jiǎn)單的用

在做例子之前，我們先定義如下用戶(hù)類(lèi)，類(lèi)名為SampleUser，代碼如下：

public partial class SampleUser
  {
    string username;
    public string UserName
    {
      get { return username; }
      set { username = value; }
    }
 
    string userpwd;
    public string UserPWD
    {
      get { return userpwd; }
      set { userpwd = value; }
    }
 
    public override bool Equals(object obj)
    {
      SampleUser other = obj as SampleUser;
      if (other == null || other.UserName != this.UserName)
        return false;
      return true;
    }
  }
 
  public partial class SampleUser
  {
    public static List<SampleUser> userList = new List<SampleUser> {
      new SampleUser() { UserName = "01", UserPWD = "123"},
      new SampleUser() { UserName = "02", UserPWD = "123" },
      new SampleUser() { UserName = "03", UserPWD = "123" },
      new SampleUser() { UserName = "04", UserPWD = "123" },
    };
 
    public static SampleUser GetUser(string userName)
    {
      return userList.Find(u=>u.UserName == userName);
    }
  }

在類(lèi)SampleUser中，定義了UserName和UserPWD兩個(gè)字段，分別用來(lái)存儲(chǔ)用戶(hù)的登錄名和密碼信息。在SampleUser類(lèi)的另一部分中，我們提供了一個(gè)用戶(hù)的靜態(tài)類(lèi)表，用來(lái)代替存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶(hù)信息，提供一個(gè)方法GetUser，用來(lái)獲取用戶(hù)信息。

在這個(gè)例子中，我們演示用戶(hù)必須進(jìn)行登錄才能訪(fǎng)問(wèn)網(wǎng)站的資源，如果沒(méi)有登錄，則將用戶(hù)導(dǎo)航到login.aspx頁(yè)面中。

第一步，在web.config中添加配置信息，說(shuō)明網(wǎng)站要使用Forms身份驗(yàn)證，并指定登錄頁(yè)面和默認(rèn)登錄成功后的跳轉(zhuǎn)頁(yè)面，然后指定拒絕未登錄用戶(hù)的訪(fǎng)問(wèn)，代碼如下：

<authentication mode="Forms">
   <forms loginUrl="~/Login.aspx" defaultUrl="~/Default.aspx" />
  </authentication>
  <authorization>
   <deny users="?"/>
  </authorization>

完成這一步后，我們?cè)俅蜷_(kāi)Default.aspx頁(yè)面，在沒(méi)有登錄的情況下，頁(yè)面會(huì)被導(dǎo)航到Login.aspx頁(yè)面，我們的第一步的目的已經(jīng)達(dá)到了。

第二步，完成Login.aspx的頁(yè)面邏輯。在頁(yè)面中添加兩個(gè)TextBox控件，用來(lái)輸入用戶(hù)名和密碼；添加一個(gè)CheckBox控件，用來(lái)選擇是否保持登錄狀態(tài)；添加一個(gè)Button控件，響應(yīng)用戶(hù)的登錄操作。相應(yīng)的代碼如下：

<fieldset>
    <legend>用戶(hù)登陸</legend>
    <div>
      用戶(hù)名：<asp:TextBox ID="txtUserID" runat="server" Width="150" /><br /><br />
      密   碼：<asp:TextBox ID="txtUserPWD" runat="server" TextMode="Password" Width="150" /><br /><br />
      <asp:CheckBox ID="cbSaveUserName" runat="server" Checked="true" Text="保持登錄狀態(tài)" />
    </div><br />
    <asp:Literal ID="ltMessage" Text="" runat="server" Visible="false" />
    <br />
    <p>
      <asp:Button ID="btnLogin" Text="登陸" runat="server" OnClick="btnLogin_Click" />
    </p>
  </fieldset>

接下來(lái)完成后臺(tái)代碼，添加登陸按鈕的后臺(tái)處理方法：對(duì)用戶(hù)名和密碼進(jìn)行驗(yàn)證，如果驗(yàn)證通過(guò)，則為用戶(hù)名創(chuàng)建一個(gè)身份驗(yàn)證票據(jù)，并將其添加到響應(yīng)的Cookie中。代碼如下：

protected void btnLogin_Click(object sender, EventArgs e)
    {
      string userID = this.txtUserID.Text.Trim();
      string userPWD = this.txtUserPWD.Text.Trim();
 
      SampleUser userEx = SampleUser.GetUser(userID);
      if (userEx == null)
      {
        ltMessage.Text = "用戶(hù)不存在！";
        ltMessage.Visible = true;
        return;
      }
 
      if (userEx.UserPWD != userPWD)
      {
        ltMessage.Text = "用戶(hù)名或密碼錯(cuò)誤，請(qǐng)重新輸入！";
        ltMessage.Visible = true;
        return;
      }
 
      //添加票據(jù)，并將用戶(hù)導(dǎo)航到默認(rèn)頁(yè)面
      FormsAuthentication.RedirectFromLoginPage(userEx.UserName, this.cbSaveUserName.Checked);
    }

完成這一步后，我們就已經(jīng)完成了簡(jiǎn)單Froms驗(yàn)證的功能。運(yùn)行程序，你會(huì)發(fā)現(xiàn)，這里存在一個(gè)問(wèn)題?。?！

你發(fā)現(xiàn)了嗎？當(dāng)我們被導(dǎo)航到login.aspx時(shí)，這個(gè)頁(yè)面的樣式丟失了！這是因?yàn)槲覀儗?duì)整個(gè)網(wǎng)站的資源進(jìn)行了訪(fǎng)問(wèn)限制，如果沒(méi)有登陸，用戶(hù)不僅無(wú)法訪(fǎng)問(wèn).aspx頁(yè)面，甚至連css文件、js文件都無(wú)法訪(fǎng)問(wèn)。顯然，這不是我們想要的，因?yàn)檫@些資源并不是敏感的資源。在通常情況下，我們只希望對(duì)部分文件夾中的文件進(jìn)行驗(yàn)證訪(fǎng)問(wèn)限制，而不是整個(gè)網(wǎng)站，例如，我們?cè)试S只對(duì)User文件夾下的頁(yè)面進(jìn)行訪(fǎng)問(wèn)限制，因?yàn)檫@個(gè)文件夾中存放的是用戶(hù)的私人信息，這些信息是敏感的。這該如何實(shí)現(xiàn)呢？

為了完成演示分目錄驗(yàn)證，我們?cè)陧?xiàng)目中添加一個(gè)User文件夾，并添加UserInfo.aspx、 UserLogin.aspx兩個(gè)頁(yè)面。UserInfo.aspx用來(lái)展示用戶(hù)信息，它的業(yè)務(wù)邏輯我們不是我們關(guān)心的，UserLogin.aspx頁(yè)面用來(lái)讓用戶(hù)登陸，代碼跟Login.aspx頁(yè)面幾乎完全相同。

第一步：修改Web.config文件，允許匿名用戶(hù)訪(fǎng)問(wèn)系統(tǒng)資源。

<authorization>
  <allow users="?"/>
 </authorization>

第二步：在User文件夾下添加一個(gè)Web.config文件，修改代碼，拒絕匿名用戶(hù)訪(fǎng)問(wèn)該文件夾下的資源。

<authorization>
 <deny users="?"/>
</authorization>

完成這兩步后，我們?cè)L問(wèn)UserInfo.aspx時(shí)，如果沒(méi)有登陸，則會(huì)被導(dǎo)航到~/User/UserLogin.aspx頁(yè)面，當(dāng)?shù)顷懞?，又?huì)被導(dǎo)航到~/User/UserInfo.aspx頁(yè)面。這個(gè)時(shí)侯，我們的登陸頁(yè)面樣式并沒(méi)有丟失，這說(shuō)明我們的配置文件起作用了。

接下來(lái)，我們想在UserInfo.aspx頁(yè)面中顯示出已登陸用戶(hù)的用戶(hù)名和密碼（這里完全是為了演示如何獲取登陸用戶(hù)數(shù)據(jù)才這樣做的，通常用戶(hù)的密碼是不會(huì)展示的）。在進(jìn)行登陸后，用戶(hù)的票據(jù)信息被加密保存在Cookie中，這個(gè)票據(jù)中，有已登錄用戶(hù)的名稱(chēng)信息，我們通過(guò)獲取票據(jù)中的用戶(hù)名，即可獲取到完整的用戶(hù)信息。

為了顯示用戶(hù)信息，我們?cè)陧?yè)面中放置兩個(gè)Label控件，代碼如下：

<h2>
<p>用戶(hù)名：<asp:Label ID="lblUserName" Text="" runat="server" /></p>
<p>密    碼：<asp:Label ID="lblUserPWD" Text="" runat="server" /></p>
</h2>

然后，我們?cè)陧?yè)面的Load方法中，獲取并展示用戶(hù)信息：

if (this.Context.User != null && this.Context.User.Identity != null && this.Context.User.Identity.IsAuthenticated)
{
  SampleUser user = SampleUser.GetUser(this.Context.User.Identity.Name);
  if (user != null)
  {
    this.lblUserName.Text = user.UserName;
    this.lblUserPWD.Text = user.UserPWD;
  }
}

再次運(yùn)行我們的代碼，當(dāng)用戶(hù)登陸后（如果保持登陸狀態(tài)，即使關(guān)掉并重新打開(kāi)瀏覽器），我們都可以獲取到已登錄用戶(hù)的Name，從而獲取用戶(hù)的對(duì)象。

如果要退出登陸，我們只需要?jiǎng)h除保存在Cookie中的票證信息即可，這個(gè)功能Forms驗(yàn)證已經(jīng)幫我們完成，代碼很簡(jiǎn)單：

FormsAuthentication.SignOut();　　//退出登陸

在本文中，沒(méi)有涉及到角色的驗(yàn)證，這是因?yàn)橥ㄟ^(guò)在配置文件中指定角色這種方法并不夠靈活，如果角色是可以在程序中維護(hù)的，那么我們?cè)谶@里的指定就形同虛設(shè)了。感興趣的朋友可以自行學(xué)習(xí)，也并不復(fù)雜。在本文的結(jié)尾，附上詳細(xì)的Forms驗(yàn)證在Web.config中的配置說(shuō)明：

更多關(guān)于淺談asp.net Forms身份驗(yàn)證詳解請(qǐng)關(guān)注PHP中文網(wǎng)（ipnx.cn）其他文章！