第十讲 身份验证、授权和登录控件 .pptVIP

回顾 母版页 母版页所在位置 嵌套母版页 内容页 样式 外观 主题及配置文件 主题和外观内容 主题和外观作用 课程目标 理解身份验证 理解Windows集成认证 掌握Forms验证 理解身份授权 理解基于角色的安全技术的特点 掌握ASP.NET 2.0基于角色的安全技术的特点 理解基于角色的安全技术的准备工作 掌握利用控件创建安全页 理解登录成员资格服务 掌握用户管理 掌握角色管理 理解使用成员资格和角色管理器API 用户注册及登录 基本上所有系统都需要实现用户的注册、登录、修改用户密码等功能。 身份验证和授权的需求 ASP.NET 2.0 的成员和角色管理简化了用户管理的功能，用户的管理和验证只与提供者打交道，而不需要关注数据库本身的细节。 现在 ASP.NET 2.0 包含对成员资格（用户名/密码凭据存储）和角色管理服务开箱即用的内置支持。由于所有这些服务都是提供程序驱动的，因此可以方便地交换出再用开发人员自己的自定义实现替换。 身份验证概念 身份验证（authentication）是一个标识应用程序客户端的过程，这里的客户端可能包括终端用户、服务、进程或计算机，通过了身份验证的客户端被称为主体（principal）。 身份验证可以跨越应用程序的多个层发生。终端用户起初由Web应用程序进行身份验证，通常根据用户名和密码进行；随后终端用户的请求由中间层应用程序服务器和数据库服务器进行处理，这这个过程中也将进行身份验证以便验证并处理这些请求。 ASP.NET身份验证模式 与Microsoft Internet信息服务(IIS)一起使用的ASP.NET可以使用以下任意一种身份验证方式来验证用户凭据（如用户名和密码）： Windows：基本、摘要式或集成Windows身份验证（NTLM或Kerberos）。 Forms身份验证，可以通过该身份验证在应用程序中创建登录页并管理身份验证。 Microsoft Passport身份验证。 None。 基于Windows的身份验证 如果应用程序使用Active Directory用户存储，则应该使用集成的Windows身份验证。 对ASP.NET应用程序使用集成Windows身份验证时，最好的方法是使用ASP.NET的Windows身份验证提供程序附带的Internet信息服务(IIS)身份验证方法。 基于Windows的身份验证 如ASP.NET针对Windows身份验证进行配置，具体启用配置参见以下代码： configuration system.web authentication mode=Windows / /system.web /configuration ASP.NET依靠IIS，利用配置好的身份验证模式对其客户端进行身份验证。IIS通过检查特定应用程序的原数据库设置来确定其身份验证模式。 集成Windows身份验证最适合于Intranet环境，其中的客户端计算机和Web服务器计算机都是相同（即信任的）域的一部分。 基于Windows的身份验证示例 创建一个基于Http类型的网站。 添加一个“添加新项…”按钮，添加一个Web配置Web.Config文件。 在Web.Config中设置验证方式为Windows： system.web authentication mode=Windows / /system.web 添加一个Web窗体页，在Page_Load事件中输入以下代码： 在运行本例子之前，需要在IIS的“目录安全性”选项卡中禁止匿名访问，启用“Windows集成身份验证”。具体设置，在IIS中选择当前项目应用程序的虚拟文件夹，右键选择“属性”。在“属性”对话框中，选择“目录安全性”，如图所示。 点击匿名访问和身份验证控制中的“编辑”，弹出“身份验证方法”对话框，如图所示。 在图中去掉“匿名访问”选项，选中“集成Windows身份验证”。 当用户以/WindowsAuthSite/WindowsAuthLogin.aspx 访问时，会提示用户输入用户名和密码，ASP.NET应用程序会以指定的帐号身份运行 基于窗体的身份验证 基于窗体的身份验证是一项ASP.NET身份验证服务，它使应用程序能够提供自己的登录用户界面并进行自己的凭据验证。ASP.NET对用户进行身份验证，将未经身份验证的用户重定向到登录页，并执行所有必要的Cookie管理。 应用程序必须配置为使用基于窗体的身份验证，方法是将authentication设置为Forms，并拒绝匿名用户访问。 下面的示例演