成员系统

System.Web.Security.Membership,它提供了一系列静态方法用于创建、删除、更新以及获取注册用户。其中最重要的一些方法如下。 

方法名

参数

备注

CreateUser

string username创建的用户名.
string password
新用户密码
string email
新用户mail地址
string passwordQuestion
string passwordAnswer
bool IsApproved
object providerUserKey

 

DeleteUser

string username需要删除的用户名
bool removeAllRelatedData

返回true表示删除,false表示没有找到

FindUsersByName

string usernameToMatch
intpageIndex
int pageSize

返回找到的用户的集合,支持通配符 "*", "%" "_".

FindUsersByEmail

string emailToMatch
int pageIndex
int pageSize

 

GeneratePassword

int length
Int numberOfNonAlpha
NumericCharacters

按照指定长度、指定非数字字符个数生成一个新密码

GetAllUsers

int pageIndex
int pageSize

返回用户记录集

GetNumberOfUsersOnline

None

返回在线的用户总数,活动目录不支持

GetUsernameByEmail

string email需要查找的用户的mail地址

通过E-mail地址返回用户名

UpdateUser

MembershipUser user需要更新的用户名

更新用户

ValidateUser

string username需要验证的用户名
string password
需要验证的密码

验证输入的用户是否为注册用户

其中一些函数以MembershipUser类作为输入参数或者返回值,该类表示单个用户,提供了很多用户细节,对应的属性和方法如下:

名称

说明

Comment

获取或设置成员资格用户的特定于应用程序的信息。

CreationDate

获取将用户添加到成员资格数据存储区的日期和时间。

Email

获取或设置成员资格用户的电子邮件地址。

IsApproved

获取或设置一个值,表示是否可以对成员资格用户进行身份验证。

IsLockedOut

获取一个值,该值指示成员资格用户是否因被锁定而无法进行验证。

IsOnline

获取一个值,表示用户当前是否联机。

LastActivityDate

获取或设置成员资格用户上次进行身份验证或访问应用程序的日期和时间。

LastLockoutDate

获取最近一次锁定成员资格用户的日期和时间。

LastLoginDate

获取或设置用户上次进行身份验证的日期和时间。

LastPasswordChangedDate

获取上次更新成员资格用户的密码的日期和时间。

PasswordQuestion

获取成员资格用户的密码提示问题。

ProviderName

获取成员资格提供程序的名称,该提供程序存储并检索成员资格用户的用户信息。

ProviderUserKey

从用户的成员资格数据源获取用户标识符。对应于数据库中的UserId

UserName

获取成员资格用户的登录名。

 

方法:

名称

说明

ChangePassword

更新成员资格数据存储区中成员资格用户的密码。

ChangePasswordQuestionAndAnswer

更新成员资格数据存储区中成员资格用户的密码提示问题和密码提示问题答案。

GetPassword

已重载。 从成员资格数据存储区获取成员资格用户的密码。

ResetPassword

已重载。 将用户密码重置为一个自动生成的新密码。

UnlockUser

清除用户的锁定状态以便可以验证成员资格用户。

下面来进行测试:

通过安全设置向导一步步提示[创建一个用户]:最终会在App_data目录下创建数据库AspNetDb

数据库和表都自动建立好后,运行页面的[Button1_Click]。

运行错误:

提示:创建用户失败!提供的密码答案无效。继续完善改动:

测试我们发现:密码的长度有要求,必须包含至少一个特殊字符[非字母且非数字字符]。邮箱没有验证格式,不同的用户名用同一个邮箱仍然可以注册成功!

其实工具箱已经封装好了现成的用户注册控件[CreateUserWizard],直接用就好了!

提供程序模型设计模式

可自定义提供程序类,或者使用第三方提供的类(用于Oracle、MySQL、DB2、XML文件),但系统本身有两个内置的提供程序类(分别用于SQL Server2000/2005的SqlMembershipProvider和用于活动目录的ActiveDirectoryMembershipProvider)可供成员系统使用,如需要进行选择需要在web.config文件中添加设置。

要创建一个新的提供程序类,见代码:

public class SqlMembershipProviderEx :SqlMembershipProvider
    {
        public override MembershipUser CreateUser(string username, string password, string email, 
            string passwordQuestion, string passwordAnswer, bool isApproved, object providerUserKey, out MembershipCreateStatus status)
        {
            if (username.ToLower() == password.ToLower()) //确保密码同用户名不同
            {
                status = MembershipCreateStatus.InvalidPassword;
                return null;
            }
            else 
            return base.CreateUser(username, password, email, passwordQuestion, passwordAnswer, 
                isApproved, providerUserKey, out status);
        }
    }

在web.config文件中可以为成员系统所用的提供程序进行指定和配置。可以查看机器中已有的相关设置:

SqlMembershipProvider的公共属性如下:(来自MSDN)

 名称说明
公共属性 ApplicationName 已重写。 获取或设置要存储和检索其成员资格信息的应用程序的名称。
公共属性 Description  获取一条简短的易懂描述,它适合在管理工具或其他用户界面 (UI) 中显示。 (从 ProviderBase 继承)
公共属性 EnablePasswordReset 已重写。 获取一个值,指示 SQL Server 成员资格提供程序是否配置为允许用户重置其密码。
公共属性 EnablePasswordRetrieval 已重写。 获取一个值,指示 SQL Server 成员资格提供程序是否配置为允许用户检索其密码。
公共属性 MaxInvalidPasswordAttempts 已重写。 获取锁定成员资格用户前允许的无效密码或无效密码提示问题答案尝试次数。
公共属性 MinRequiredNonAlphanumericCharacters 已重写。 获取有效密码中必须包含的最少特殊字符数。
公共属性 MinRequiredPasswordLength 已重写。 获取密码所要求的最小长度。
公共属性 Name  获得一个友好名称,用于在配置过程中引用提供程序。 (从 ProviderBase 继承)
公共属性 PasswordAttemptWindow 已重写。 获取时间长度,在该时间间隔内对提供有效密码或密码答案的连续失败尝试次数进行跟踪。
公共属性 PasswordFormat 已重写。 获取一个值,表示用于在 SQL Server 成员资格数据库中存储密码的格式。
公共属性 PasswordStrengthRegularExpression 已重写。 获取用于计算密码的正则表达式。
公共属性 RequiresQuestionAndAnswer 已重写。 获取一个值,指示 SQL Server 成员资格提供程序是否配置为要求用户在进行密码重置和检索时回答密码提示问题。
公共属性 RequiresUniqueEmail 已重写。 获取一个值,指示 SQL Server 成员资格提供程序是否配置为要求每个用户名具有唯一的电子邮件地址。

默认情况下,MinRequiredPasswordLength的值为7,MinRequiredNonAlphanumericCharacters 的值为1,意味着用户注册的长度至少为7且至少包含一个非字母及数字字符。

PasswordFormat :SQL Server 成员资格提供程序支持 ClearEncryptedHashed 密码格式。Clear 密码以明文形式存储,可提高密码存储和检索的性能,但安全性较低,因为如果 SQL Server 数据库的安全受到威胁,可轻松读取密码。Encrypted 密码在存储时加密,并可解密以进行密码比较或密码检索。此类密码在存储和检索时需要进行额外的处理,但比较安全,在 SQL Server 数据库的安全性受到威胁时不容易被获取。Hashed 密码在存储到数据库时使用单向哈希算法和随机生成的 salt 值进行哈希计算。在验证某一密码时,将用数据库中的 salt 值对该密码进行哈希计算以进行验证。无法检索哈希密码。

Encrypted 和 Hashed 密码默认情况下基于配置的 machineKey 元素中提供的信息进行加密或哈希计算。请注意,如果为 validation 属性指定了 3DES 值,或者没有指定值,则将使用 SHA1算法对哈希密码进行哈希计算。

可使用 membership 元素(ASP.NET 设置架构) 配置元素的 hashAlgorithmType 属性定义一个自定义哈希算法。如果选择加密,默认密码加密则使用 AES。可以通过设置 machineKey 配置元素的 decryption 属性更改加密算法。如果要对密码进行加密,则必须为 machineKey 元素中的 decryptionKey 属性显式提供一个值。对 ASP.NET 成员资格使用加密密码时不支持 decryptionKey 属性的 AutoGenerate默认值。

 

接下来,对web.config进行成员配置,

实现:(密码长度至少5位,不需要特殊字符,用户的邮件必须唯一,注册/重设密码时刻不用密码问题和答案,选择用户有好对称加密方式)

 

为了配置密钥,需要在machineKey元素中设置validationKey和decryptionKey。因为成员系统使用普通加密方式,所以不能设置为默认的AutoGenerate,可以使用一个在线工具:www.aspnetresources.com/tools/keycreator.aspx,点击生成按钮,效果如图:

运行代码:

Membership.CreateUser("小张", "123456",xiaozhang@qq.com);

可以正常使用了!

与第一次默认的按钮事件情形不一样的处理效果了!(前面蓝色加粗字体)

查看对应的数据库关系图和表数据,密码自动加密!

posted @ 2011-12-24 21:03  net小虫  阅读(254)  评论(0编辑  收藏  举报