Asp.net网站后台安全(基础)
在Web.config中可以手动进行配置,也可以用ASPNET管理页面对其配置.
所谓的配置,就是分两段:
1.建立一个ASP.NET角色,然后把这个角色分配给一个普通的用户
2.授权于这个新建立的角色,比如授权这个人可以登陆我的网站后台,但是只有读权限,也就是只有select权限.
那么,我们就说这个用户已经变得不普通了,而成为一位有上述权限的特殊用户.
OK,至于判断用户是否已经登陆?
首先:其实我个人认为后台页面可以保护起来,像这样,也是在Web.config里写:
<authentication mode="Forms">
<forms name=".FormsAuthCookie" loginUrl="userlogin.aspx" defaultUrl="Default.aspx" /> //粗略地说这是保护页面
</authentication>
<authorization>
<deny users="?" /> //这就是所谓的拒绝匿名访问
<allow roles="bot" /> //而允许bot这个角色
</authorization>
而bot是谁呢,他在没被分配权限之前就是普通人,而之后就不同了.
<location path="后台管理页面.aspx" allowOverride="true">
<system.web>
<authorization>
<allow users="bot"/> //允许登陆的bot访问
<deny users="*"/> //拒绝所有登陆的用户访问
</authorization>
</system.web>
</location>
从而确定了bot这个权限.
这样,即便其他用户登陆也进不去!
传值的话可以用session,当然如果用组合LOGIN控件的话就不一样了,在.NET命令中输入"aspnet_regsql",使用本身自带的数据库即可验证身份(Forms身份验证).不用专门的去判断,还是刚才所说,在CONFIG中进行配置即可.