ASP.NET2.0网站开发（9）权限设置

本节为本软件开发的最后一节，主要是设置软件的权限。在ASP.NET2.0中，身份的验证有多种方式，然而Windows和Passprot几乎都不实用。Windows身份验证是基于Windows账户和NTFS ACL令牌的，可以在内联网或一些外联网环境中有效的使用，但在更多的实际运行环境中，Windows身份验证是不合适的，因为访问此Web程序的用户不可能都拥有该应用程序域的Windows帐户。而Passport并不是免费的，要求更严格的安全措施，主要对电子商务等站点才更合适一些，比如：在开发了一个并不是特别重要的Web应用程序之后，在进行验证时，需要你先期对用户验证进行付费，你能够接受吗？

目前在使用身份验证中，最合适的就是Form验证了，通过在程序中进行设置，在用户访问时首先重定向到一个登录的页面上，在输入用户的凭据并成功的进行了验证之后，再重定向到所请求的页面中。而身份信息的保存就要依靠数据库中的身份表了。在本软件中，使用已经在数据库中生成的用户表，并且不再对用户表的维护进行设置，只是演示一种身份验证的方法。

请先在此表内输入一条合法的记录，在用户登录时，将使用此信息进行用户的验证，示例中输入的登录名为admin,口令与登录名称相同，且口令未经加密。

在ASP.NET2.0中，在窗体验证的方式内提供了一个管理用户账户的方法类MemberShip，通过对此类的继承并实现相应的方法后，来解决身份登录的问题，在继承的方法中，实现验证方法ValidateUser：

 1    public override bool ValidateUser(string username, string password)
 2    {
 3        bool isExists = false;
 4        UserClass user = new DALClass().User_GetValue(username);
 5        if (user != null)
 6        {
 7            if (user.Yhkl == password)
 8                isExists = true;
 9        }
        return isExists;
    }

打开web.config文件，修改应用程序的验证方式，将默认的Windows验证方式改为Forms方式，并拒绝显示除指定页外的任何页面信息：

    <authentication mode="Forms">
      <forms loginUrl="Default.aspx"/>
    </authentication>
    <authorization>
      <deny users="?"/>
    </authorization>

为应用程序指定身份验证类：

    <membership defaultProvider="MProvider">
      <providers>
        <add name="MProvider" type="MProvider, App_Code"/>
      </providers>
    </membership>

最后一步，设置在用户匿名的状态也，也可以使用的资源，比如图片等相关的资源等，如果不进行设置，图片将不能显示、级联样式表也不会被应用程序找到：

  <location path="StyleSheet.css">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>
  <location path="images">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>
  <location path="getPic.aspx">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>

 

以下为程序运行时的状态：

1、未登录：

2、登录用户错误：

3、正确登录页面：

经过设置，在用户退出登录的状态下，即使输入单独的页面地址，程序仍将指向登录的页面，等待用户的登录。

《完》