下面簡(jiǎn)單分析UrlAuthorizationModule的源碼,便可了解驗(yàn)證模型是如何驗(yàn)證在web.config中指定的授權(quán)規(guī)則.

UrlAuthorizationModule在應(yīng)用程序初始化時(shí)向HttpApplication::AuthorizeRequest事件(安全模塊已驗(yàn)證用戶授權(quán)時(shí)發(fā)生)注冊(cè)委托代碼,該代碼內(nèi)部調(diào)用AuthorizationConfig::IsUserAllowed.方法實(shí)現(xiàn)截圖如下：

上面代碼又調(diào)用了AuthorizationConfigRule::IsUserAllowed方法,截圖如下:

由于HttpApplication::AuthorizeRequest事件是在HttpApplication::AuthenticateRequest事件之后執(zhí)行的(請(qǐng)看我提到過(guò)的事件列表), 在前面介紹的AuthenticateRequest事件中我們修改了Context.User對(duì)象,而且加入了角色信息,所以AuthorizeRequest事件在驗(yàn)證用戶的權(quán)限時(shí)發(fā)現(xiàn)Context.User對(duì)象中什么都有,所以它才允許用戶訪問(wèn)請(qǐng)求的資源,否則請(qǐng)求將被返回到指定的頁(yè)面.以上就是ASP.NET1.1的原理,怎么樣你理解了嗎?

ASP.NET2.0你仍可以用這樣的機(jī)制,但又增加新特性.下面就看看在ASP.NET2.0中是如何實(shí)現(xiàn)的吧!

ASP.NET 2.0 實(shí)現(xiàn)方式

ASP.NET2.0的實(shí)現(xiàn)方式與ASP.NET1.1實(shí)現(xiàn)方式大同小異,同樣支持前一版本的安全模型.不過(guò)又新增了成員資格與角色管理授權(quán)模型.這里就介紹ASP.NET2.0新增的內(nèi)容.

l         應(yīng)用程序配置新增屬性

<system.web>

 <authentication mode="Forms">

       //defaultUrl是ASP.NET2.0版本新增的屬性, 在驗(yàn)證模型重定向URL時(shí)將重定向到的URL.默認(rèn)值為"default.ASPx".

//雖然ASP.NET1.1版本沒(méi)有該屬性,但程序中的默認(rèn)為"default.ASPx".還是ASP.NET2.0的配置更為靈活.

    <forms loginUrl="logon.ASPx" protection="All" name=".ASPXFORMSAUTH" path="/" defaultUrl="Index.ASPx"></forms>

 </authentication>

 <authorization>

    <deny users="?" />/*匿名用戶*/

 </authorization>

</system.web>

l         使用成員資格驗(yàn)證登錄

ASP.NET 成員資格主要用于ASP.NET Forms 身份驗(yàn)證,配合ASP.NET2.0登錄控件可以不用寫任何代碼就能實(shí)現(xiàn)Forms身份驗(yàn)證.

首先創(chuàng)建登錄頁(yè)Login.ASPx,將登錄控件托入到窗體中即可,不用寫任何登錄事件代碼,相比ASP.NET1.1節(jié)省時(shí)間不是一點(diǎn)半點(diǎn).

l         使用角色管理進(jìn)行訪問(wèn)授權(quán)

角色管理可以幫助您管理授權(quán),使您能夠指定應(yīng)用程序中的用戶可訪問(wèn)的資源.角色管理可讓您通過(guò)將用戶分配到相應(yīng)角色來(lái)對(duì)其進(jìn)行分組,從而更容易控制訪問(wèn)權(quán)限.

1.         啟用角色管理

要啟用該功能,修改web.config文件在<system.web>配置節(jié)點(diǎn)內(nèi)增加子節(jié)點(diǎn)如下:

<roleManager enabled="true" cacheRolesInCookie="true" />

cacheRolesInCookie屬性代表是否緩存角色信息,這樣不用每次都從數(shù)據(jù)庫(kù)中獲取角色,以提高應(yīng)用程序的性能.

但是將角色放在Cookie里總是風(fēng)險(xiǎn)的,它可能被篡改,然后用它訪問(wèn)未被授權(quán)的資源.

不過(guò)可以在用戶每次登錄時(shí),先使用Role API的DeleteCookie方法刪除這個(gè)緩存Cookie, 這樣可使風(fēng)險(xiǎn)小一點(diǎn).

推薦代碼:

if(Membership.ValidateUser(username, password)){

 Roles.DeleteCookie();

 FormsAuthentication.RedirectFromLoginPage(username, false);

}

特別提示:應(yīng)用程序配置中當(dāng)角色管理可用并且提供者程序?yàn)?/SPAN>ASPNETSqlProvider時(shí), SqlRoleProvider的GetRolesForUser方法會(huì)調(diào)用System.Web.DataAccess.SqlConnectionHelper類的私有靜態(tài)方法EnsureSqlExpressDBFile創(chuàng)建一個(gè)空的ASPNETdb.mdf本地?cái)?shù)據(jù)庫(kù),該數(shù)據(jù)庫(kù)包含成員資格與角色管理,所需要的表結(jié)構(gòu)等信息.

2.         配置成員與角色

使用VS2008自帶的配置工具設(shè)定成員與角色是最簡(jiǎn)單不過(guò)的了,點(diǎn)擊菜單欄中的[項(xiàng)目],下拉菜單的最后一項(xiàng)[ASP.NET配置],在彈出窗體中設(shè)置成員與角色關(guān)系.如下圖展示:

在安全選項(xiàng)卡內(nèi)有管理用戶與角色的內(nèi)容,如下圖:

本示例創(chuàng)建了一個(gè)用戶”iori”與一個(gè)角色”Admins”,并且指定了該用戶是Admins角色的成員.

另外該工具還會(huì)自動(dòng)創(chuàng)建本地?cái)?shù)據(jù)庫(kù)(如果還沒(méi)創(chuàng)建).與它相關(guān)的配置在machine.config文件中指定,如下圖所示,你可以更改數(shù)據(jù)庫(kù)的文件名,默認(rèn)為”ASPNETdb.mdf”.

好了,通過(guò)完成上面的幾個(gè)步驟,網(wǎng)站內(nèi)容就己經(jīng)受到授權(quán)機(jī)制的保護(hù)了,可以用剛剛添加的用戶試試登錄吧.

相比上一版本,ASP.NET2.0在Forms身份驗(yàn)證里為開(kāi)發(fā)人員節(jié)省很多時(shí)間,幾乎不用開(kāi)發(fā)人員寫任何代碼,方便了許多,下面讓我們一探究竟.

l         ASP.NET 2.0 安全模型驗(yàn)證授權(quán)的原理

1.          驗(yàn)證原理

在.NET1.1中開(kāi)發(fā)人員必須為登錄頁(yè)編寫登錄事件,用來(lái)驗(yàn)證用戶輸入的用戶名與密碼是否有效,而ASP.NET 2.0中引入了成員資格提供程序與標(biāo)準(zhǔn)登錄服務(wù)器控件,它們隱式使用Forms 身份驗(yàn)證,登錄控件己經(jīng)包含了驗(yàn)證用戶名的程序邏輯,也就是說(shuō)登錄控件會(huì)把用戶輸入的用戶名與密碼自動(dòng)與成員資格數(shù)據(jù)庫(kù)中的用戶進(jìn)行匹配,如果成功匹配就將特定Cookie寫入客戶端.

2.         授權(quán)原理

還是拿UrlAuthorizationModule說(shuō)事兒, 如果不啟用角色管理,實(shí)現(xiàn)方式與ASP.NET1.1差不多,不過(guò)由于ASP.NET2.0加入了角色管理模型,角色管理模型使用兩個(gè)類: RolePrincipal與RoleManagerModule來(lái)實(shí)現(xiàn)角色授權(quán).如果應(yīng)用程序配置的角色管理可用時(shí),這兩個(gè)新對(duì)象將被應(yīng)用到ASPx頁(yè)面的生命周期中, 由于RoleManagerModule 被初始化時(shí)會(huì)向HttpApplication對(duì)象的事件PostAuthenticateRequest加載委托代碼,該代碼會(huì)將app.Context.User對(duì)象包裝成RolePrincipal對(duì)象.

PostAuthenticateRequest事件是在ASP.NET 2.0中加入的,該事件發(fā)生在AuthenticateRequest事件之后,代表安全模塊已建立了用戶標(biāo)識(shí),所以在這個(gè)事件中使用用戶標(biāo)識(shí)重新生成RolePrincipal對(duì)象.

下面為委托代碼的節(jié)選.

......//省略若干代碼

HttpApplication application = (HttpApplication) source;

HttpContext context = application.Context;

if (this._eventHandler != null)

{

     RoleManagerEventArgs e = new RoleManagerEventArgs(context);

     this._eventHandler(this, e);

     if (e.RolesPopulated)

     {      

              //判斷開(kāi)發(fā)人員是否在Global.asax中寫了事件處理程序,如下顯示的代碼.

              /*

              //這里演示如何在Global.asax中自定義角色

        void RoleManager_GetRoles(object sender, RoleManagerEventArgs e)

        {

            if (e.Context.Request.IsAuthenticated)

            {

                e.Context.User = new GenericPrincipal(new GenericIdentity(e.Context.User.Identity.Name), new string[] { "Admins" });

                e.RolesPopulated = true;

            }

        }

              */

              //如果e.RolesPopulated為真,代表開(kāi)發(fā)人員自己創(chuàng)建了角色信息,

//RoleManagerModule就不會(huì) 生成RolePrincipal 對(duì)象了.

              return;

     }

}

......

if (!(context.User is RolePrincipal))

{

     context.User = new RolePrincipal(context.User.Identity);

}

Thread.CurrentPrincipal = context.User;

注意:我們并沒(méi)有像ASP.NET1.1中那樣在AuthenticateRequest事件中生成User對(duì)象.但是User對(duì)象會(huì)在FormsAuthenticationModuleHTTP模塊中使用Forms身份驗(yàn)證的特定Cookie重新被包裝成一個(gè)GenericPrincipal對(duì)象(角色為空).

在說(shuō)明RolePrincipal對(duì)象有什么用之前,需要了解這個(gè)對(duì)象是何時(shí)被用到的.

在UrlAuthorizationModule被初始化時(shí)中向HttpApplication對(duì)象注冊(cè)的事件AuthorizeRequest被觸發(fā).

在這個(gè)事件中會(huì)調(diào)用RolePrincipal對(duì)象(就是Context.User)的方法IsInRole, IsInRole方法會(huì)自動(dòng)查找角色提供程序(本示例使用默認(rèn)提供程序ASPNETSqlProvider,數(shù)據(jù)庫(kù)為前面自動(dòng)生成的ASPNETDB.MDF),并驗(yàn)證用戶角色,代碼截圖如下:

而IsUserAllowed方法最終會(huì)調(diào)用RolePrincipal對(duì)角的IsInRole方法來(lái)判斷當(dāng)前用戶是否擁有某角色,方法截圖如下:

以上這些便是ASP.NET2.0成員資格與角色管理實(shí)現(xiàn)Forms身份驗(yàn)證的原理與實(shí)現(xiàn),不過(guò)默認(rèn)的成員資格與角色數(shù)據(jù)庫(kù)的字段一般并不能滿足具體項(xiàng)目的需要.好在ASP.NET 2.0中提供了可擴(kuò)展提拱程序模型,開(kāi)發(fā)人員可以定制成員資格提供程序與角色管理模型.

結(jié)束語(yǔ)

    網(wǎng)站應(yīng)用程序的身份驗(yàn)證和授權(quán)方法是一項(xiàng)具有挑戰(zhàn)性的任務(wù),而Forms身份驗(yàn)證在網(wǎng)站建設(shè)中提供了重要的安全性優(yōu)勢(shì),通過(guò)提供用戶配置文件以及對(duì)角色的支持, 簡(jiǎn)化了程序員通常需要編寫大量代碼才能完成的工作.如果讀者還有什么問(wèn)題或者對(duì)以上描述有不同的見(jiàn)解,歡迎與我聯(lián)系互相交流!

AspNet技術(shù)：ASP.NET Internet安全Forms身份驗(yàn)證方法，轉(zhuǎn)載需保留來(lái)源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。