ASP.NET MVC form验证
网站结构
webconfig
设置为form验证, 并拒绝所有的匿名用户<authentication mode="Forms"><forms loginUrl="~/Account/Index" timeout="2880" path="/" /></authentication><authorization><deny users="?"/></authorization>
如果我们徐凯开放首页比如说Home/Index,那么做如下配置. 如果是Home文件夹下所有的页面都能访问, 那么 path=”Home”即可
<location path="Home/Index"><system.web><authorization><allow users="*" /></authorization></system.web></location>
cookie
启动程序, 来到登录页面. 如果登录成功, 那么我们需要写入cookie.
登陆页面
<%@ Page Language="C#" Inherits="System.Web.Mvc.ViewPage<mvc安全验证.Models.User>" %><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" ><head runat="server"><title>Index</title></head><body><div><% using( Html.BeginForm()){%>登录<%: Html.TextBoxFor(m => m.UserName, new { @class = "log" })%><%: Html.TextBoxFor(x => x.RealName) %><br /><input type="submit" value="login" /><%};%></div></body></html>处理方法[HttpPost]public ActionResult Index(Models.User model) {if (model.UserName == "admin"){//创造票据FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(model.UserName, false, 1);//加密票据string ticString = FormsAuthentication.Encrypt(ticket);//输出到客户端Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, ticString));//跳转到登录前页面return Redirect(HttpUtility.UrlDecode( Request.QueryString["ReturnUrl"]));}return View();}退出.通过 new FormsAuthenticationTicket(model.UserName, false, 时长); 设置.AXPXAUTH过期时长. 但是如果newHttpCookie(FormsAuthentication.FormsCookieName, ticString) 这个cookie对象没有设置过期时间, 那么上面设置的时长再长, cookie的生命周期还是浏览器的生命周期.public ActionResult Logout() {FormsAuthentication.SignOut();return Redirect(FormsAuthentication.LoginUrl);}
这样, 在默认首页 home/index 中可以得到
八卦一下. User的值是在哪里获得的呢?我们加载进来一个DLL, 自定义的httpmodulehttp://www.cnblogs.com/jianjialin/archive/2011/06/14/2080880.html
跟踪一下. 发现在application_AuthenticateRequest事件里面, 我们可以获得User对象了.
