【C#.NET】保护你的ASP.NET应用程序(三)安全性相关的控件
15.6 安全性相关的控件
15.6.1 ASP.NET登录控件概述
使用ASP.NET 2.0提供的这些控件,我们只需要进行简单的设置而无需写一行代码就能提供“注册”、“登录”、“修改密码”和“取回密码”等与账户密切相关的一些操作。
如图15-26所示,可以看到IDE工具箱中的一套登录控件。
图15-26 ASP.NET登录控件
15.6.2 登录控件
首先添加一个Login.aspx,在页面上放入一个Login控件,然后使用属性窗口对控件进行配置。
<asp:Login ID="Login1" runat="server" CreateUserText="没有注册?"
CreateUserUrl="Register.aspx" PasswordRecoveryText="忘记密码?"
PasswordRecoveryUrl="PasswordRecovery.aspx"/>
CreateUserText属性表示创建用户链接的字符串,CreateUserUrl属性表示创建用户的链接地址,PasswordRecoveryText属性表示取回密码链接的字符串,PasswordRecoveryUrl表示取回密码的链接地址。
然后浏览Login.aspx,界面如图15-27所示。
15.6.3 创建用户向导控件
在创建登录页面的时候,我们配置了注册链接的地址为Register.aspx,因此需要创建一个Register.aspx页面用于注册操作。在页面上放置一个CreateUserWizard控件。
<asp:CreateUserWizard ID="CreateUserWizard1" runat="server"
ContinueDestinationPageUrl="Default.aspx" />
在这里,ContinueDestinationPageUrl属性表示注册完成后转向的页面地址。之后,我们会创建Default.aspx来显示登录名和登录状态等信息。
浏览Default.aspx效果,如图15-28所示。
注意以下几点。
1.在注册后,系统会自动为用户登录。
2.默认情况下密码需要有一定的强度(最短长度为7位,且必须包含1个非字母数字字符),我们可以通过修改Web.config文件来改变这个设定,比如下面的配置段为成员资格指定了一个MyAspNetSqlProvider的Provider,并设定密码最短长度为6位,不需要包含任何非字母数字字符(<system.web>节点下)。
<membership defaultProvider="MyAspNetSqlProvider">
<providers>
<add name="MyAspNetSqlProvider" type="System.Web.Security.
SqlMembershipProvider" connectionStringName="LocalSqlServer"
minRequiredPasswordLength="6" minRequiredNonalphanumericCharacters="0"
applicationName="/"/>
</providers>
</membership>
当然,也别忘记指定用于成员资格服务的数据库连接字符串(<configuration>节点下)。
<connectionStrings>
<add name="LocalSqlServer" connectionString="data source=."SQLEXPRESS;Integrated
Security=SSPI;AttachDBFilename=|DataDirectory|aspnetdb.mdf;User Instance=true"
providerName="System.Data.SqlClient" />
</connectionStrings>
注意:其他有关成员资格的配置请回顾15.5.1节。
15.6.4 密码恢复控件
按照Login控件的PasswordRecoveryUrl属性,新建一个用于密码恢复(取回密码)操作的页面PasswordRecovery.aspx。在页面上放入一个PasswordRecovery控件。整个密码恢复的过程如下。
1.输入用户名。
2.输入该用户密码问题的答案。
3.如果答案正确,那么系统会把新的密码发送到用户的邮箱中。
因此,我们需要在Web.config文件的<configuration>节点下新增SMTP邮件服务器的配置。
<system.net>
<mailSettings>
<smtp from="发件人的邮件地址">
<network host="SMTP邮件服务器名" port="端口(默认25)" password="" userName="" />
</smtp>
</mailSettings>
</system.net>
浏览PasswordRecovery.aspx进行密码找回操作,然后你会收到如图15-29所示的一封邮件:
15.6.5 修改密码控件
用户在登录后可能还会希望进行密码修改操作,现在就来创建一个ChangePassword.aspx页面,然后在页面上放入一个ChangePassword控件。
<asp:ChangePassword ID="ChangePassword1" runat="server" ContinueDestinationPageUrl=
"Default.aspx"/>
在这里,我们设置ContinueDestinationPageUrl属性为Default.aspx,表示在修改密码后让系统转到Default.aspx。修改密码界面如图15-30所示。
15.6.6 其他控件
最后,来完成Default.aspx。除了注册、登录和密码操作外,很多时候我们还有一些其他需求,比如下面的操作。
· 为没有登录的用户提供登录操作,为已经登录的用户提供退出操作。
· 显示已经登录的用户名。
· 为已登录和未登录的用户显示不同的信息。
要实现这三个要求同样不需要写任何代码,我们可以分别使用LoginStatus、LoginName和LoginView控件来完成。
· LoginStatus控件会自动根据用户是否登录来显示登录“链接”或者退出“链接”。当然,你也可以把文字换成图片。
· LoginName控件可以按照一定的格式来显示登录的用户名。
· LoginView控件提供了LoggedInTemplate和AnonymousTemplate等模板,LoggedInTemplate模板中的内容会在登录后显示,而AnonymousTemplate模板中的内容会在未登录时显示。
下面,就在页面上添加这三个控件,并做一定的设置。
<asp:LoginStatus ID="LoginStatus1" runat="server" />
<asp:LoginName ID="LoginName1" runat="server" FormatString="您好:{0}"/>
<asp:LoginView ID="LoginView1" runat="server">
<LoggedInTemplate>
<a href="ChangePassword.aspx">修改密码</a>
</LoggedInTemplate>
<AnonymousTemplate>
<a href="PasswordRecovery.aspx">恢复密码</a>
</AnonymousTemplate>
</asp:LoginView>
页面效果如图15-31所示。
登录前:
登录后:
图15-31 LoginStatus、LoginName和LoginView控件