表单验证浅谈
在每一本ASP.NET的技术书籍中,都会谈到身份验证。但是所提到的东西都感觉比较复杂,需要掌握比较多的东西才能够运用。就算想简单的用用登录控件,也需要几个控件配合使用,并且还要合理配置web.config,还有数据库表。这往往另人一头雾水,并且感觉不太使用,因为控件的外观往往很难满足我们对于界面的要求。
我们往往只需要这样的需求。对于网站目录,只有一部分限制匿名用户访问,需要通过了用户验证才可以;并且用户验证信息存储在用户自定义的数据库中;登录成功后跳转自定义页面;匿名用户访问受限文件,会自动跳转到登录界面;退出后需要重新登录。
这样的需求有一个很简单也很清晰地实现方式,这种方式适合大部分的项目。
首先在web.config中限制匿名用户的访问目录,在根节点<configuration>下,放入下面的代码:
<location path="">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web></location>
<location path="">
填入你想限制匿名用户访问目录的路径,<deny users="?"/>表示拒绝所有匿名用户访问此目录。
然后更改身份验证提供程序,和配置验证页面和验证通过后的跳转页面:
<authentication mode="Forms">
<forms name="" loginUrl="" defaultUrl=""/>
</authentication>
身份验证提供程序必须为"Forms";name是网站标识,如果在一个服务器下有多个网站,比如网站是处于虚拟主机上的话,那么这个name需要自定义一个名称;loginUrl是登录验证页面的路径,这个页面可以处于受限目录下,也可以处于其他目录中,在受限目录下匿名用户也可以访问这个页面;defaultUrl是登录成功后的自动跳转页面路径,这个不需要在程序中作任何设置,这个页面的跳转是自动的,只要登录成功。
web.config中的配置就这样就结束了,下面我们需要在登录验证页面中做一点小小的工作,告诉程序是否验证成功。
当用户输入用户名和密码之后,我们需要把用户的输入提交到我们自定义储存用户验证信息的地方,比如SQL Server中进行核对,如果验证成功,那么在验证成功的这个判断中加入下面的代码:
FormsAuthentication.RedirectFromLoginPage( , false);
注意,需要引用System.Web.Security命名空间。这个方法是把用户信息储存到Cookie中,这样在验证的有效期内访问受限页面就不用再次验证。这个方法有两个参数第一个是经过身份验证的用户名,第二个参数是个布尔值,false表示创建非持久化会话的Cookie。然后系统会自动跳转到我们在web.config中设置的defaultUrl页面。
最后我们需要添加退出功能。这个功能需要在需要退出的事件中加入下面的代码:
FormsAuthentication.SignOut();
Response.BufferOutput = true;
Response.Redirect("", false);
第一句代码同样需要引入System.Web.Security命名空间。第一句代码的意思就是退出登录;第二句表示缓冲输出,也就是在整个网页处理完毕后再输出;第三句就是重定向登出后页面。
Redirect方法有两个参数,第一个就是重定向页面路径,第二个是个布尔值,随便哪个值都可以,设置为true是立即终止当前页面进程,这样系统会抛出一个异常来终止进程,设置为false就是不终止当前页面。效果上都一样,这个异常是不能避免的,如果不想有异常抛出,设置为false就可以了。
就这样,一个基本的登录验证系统已经实现了。
