欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

Asp.net中基于Forms驗證的角色驗證授權Asp.net的身份驗證有有三種，分別是"Windows | Forms | Passport"，其中又以Forms驗證用的最多，也最靈活。Forms 驗證方式對基于用戶(hù)的驗證授權提供了很好的支持，可以通過(guò)一個(gè)登錄頁(yè)面驗證用戶(hù)的身份，將此用戶(hù)的身份發(fā)回到客戶(hù)端的Cookie，之后此用戶(hù)再訪(fǎng)問(wèn)這個(gè)web應用就會(huì )連同這個(gè)身份Cookie一起發(fā)送到服務(wù)端。服務(wù)端上的授權設置就可以根據不同目錄對不同用戶(hù)的訪(fǎng)問(wèn)授權進(jìn)行控制了。問(wèn)題來(lái)了，在實(shí)際是用中我們往往需要的是基于角色，或者說(shuō)基于用戶(hù)組的驗證和授權。對一個(gè)網(wǎng)站來(lái)說(shuō)，一般的驗證授權的模式應該是這樣的：根據實(shí)際需求把用戶(hù)分成不同的身份，就是角色，或者說(shuō)是用戶(hù)組，驗證過(guò)程不但要驗證這個(gè)用戶(hù)本身的身份，還要驗證它是屬于哪個(gè)角色的。而訪(fǎng)問(wèn)授權是根據角色來(lái)設置的，某些角色可以訪(fǎng)問(wèn)哪些資源，不可以訪(fǎng)問(wèn)哪些資源等等。要是基于用戶(hù)來(lái)授權訪(fǎng)問(wèn)將會(huì )是個(gè)很不實(shí)際的做法，用戶(hù)有很多，還可能隨時(shí)的增減，不可能在配置文件中隨時(shí)的為不斷增加的新用戶(hù)去增加訪(fǎng)問(wèn)授權的。下面大概的看一下Forms的過(guò)程。Forms身份驗證基本原理：一 身份驗證要采用Forms身份驗證，先要在應用程序根目錄中的Web.config中做相應的設置:<authentication mode="forms"><forms name=".ASPXAUTH " loginUrl="/login.aspx" timeout="30" path= "/"></forms></authentication>其中<authentication mode= "forms"> 表示本應用程序采用Forms驗證方式。1. <forms>標簽中的name表示指定要用于身份驗證的 HTTP Cookie。默認情況下，name 的值是 .ASPXAUTH。采用此種方式驗證用戶(hù)后,以此用戶(hù)的信息建立一個(gè)FormsAuthenticationTicket類(lèi)型的身份驗證票,再加密序列化為一個(gè)字符串,最后將這個(gè)字符串寫(xiě)到客戶(hù)端的name指定名字的Cookie中.一旦這個(gè)Cookie寫(xiě)到客戶(hù)端后,此用戶(hù)再次訪(fǎng)問(wèn)這個(gè)web應用時(shí)會(huì )將連同Cookie一起發(fā)送到服務(wù)端,服務(wù)端將會(huì )知道此用戶(hù)是已經(jīng)驗證過(guò)的.再看一下身份驗證票都包含哪些信息呢,我們看一下FormsAuthenticationTicket類(lèi):CookiePath： 返回發(fā)出 Cookie 的路徑。注意，窗體的路徑設置為 /。由于窗體區分大小寫(xiě)，這是為了防止站點(diǎn)中的 URL 的大小寫(xiě)不一致而采取的一種保護措施。這在刷新 Cookie 時(shí)使用Expiration： 獲取 Cookie 過(guò)期的日期/時(shí)間。IsPersistent： 如果已發(fā)出持久的 Cookie，則返回 true。否則，身份驗證 Cookie 將限制在瀏覽器生命周期范圍內。IssueDate： 獲取最初發(fā)出 Cookie 的日期/時(shí)間。Name： 獲取與身份驗證 Cookie 關(guān)聯(lián)的用戶(hù)名。UserData ：獲取存儲在 Cookie 中的應用程序定義字符串。Version： 返回字節版本號供將來(lái)使用。2. <forms>標簽中的loginUrl指定如果沒(méi)有找到任何有效的身份驗證 Cookie，為登錄將請求重定向到的 URL。默認值為 default.aspx。loginUrl指定的頁(yè)面就是用來(lái)驗證用戶(hù)身份的,一般此頁(yè)面提供用戶(hù)輸入用戶(hù)名和密碼,用戶(hù)提交后由程序來(lái)根據自己的需要來(lái)驗證用戶(hù)的合法性(大多情況是將用戶(hù)輸入信息同數據庫中的用戶(hù)表進(jìn)行比較),如果驗證用戶(hù)有效,則生成同此用戶(hù)對應的身份驗證票,寫(xiě)到客戶(hù)端的Cookie,最后將瀏覽器重定向到用戶(hù)初試請求的頁(yè)面.一般是用FormsAuthentication.RedirectFromLoginPage 方法來(lái)完成生成身份驗證票,寫(xiě)回客戶(hù)端,瀏覽器重定向等一系列的動(dòng)作.public static void RedirectFromLoginPage( string userName, bool createPersistentCookie, string strCookiePath );其中:userName： 就是此用戶(hù)的標示,用來(lái)標志此用戶(hù)的唯一標示,不一定要映射到用戶(hù)賬戶(hù)名稱(chēng).createPersistentCookie： 標示是否發(fā)出持久的 Cookie。若不是持久Cookie，Cookie的有效期Expiration屬性有當前時(shí)間加上web.config中timeout的時(shí)間，每次請求頁(yè)面時(shí)，在驗證身份過(guò)程中，會(huì )判斷是否過(guò)了有效期的一半，要是的話(huà)更新一次cookie的有效期；若是持久cookie，Expiration屬性無(wú)意義，這時(shí)身份驗證票的有效期有cookie的Expires決定，RedirectFromLoginPage方法給Expires屬性設定的是50年有效期。strCookiePath： 標示將生成的Cookie的寫(xiě)到客戶(hù)端的路徑，身份驗證票中保存這個(gè)路徑是在刷新身份驗證票Cookie時(shí)使用（這也是生成Cookie的Path），若沒(méi)有strCookiePath 參數，則使用web.config中 path屬性的設置。這里可以看到,此方法參數只有三個(gè),而身份驗證票的屬性有七個(gè),不足的四個(gè)參數是這么來(lái)的:IssueDate： Cookie發(fā)出時(shí)間由當前時(shí)間得出,Expiration：過(guò)期時(shí)間由當前時(shí)間和下面要說(shuō)的<forms>標簽中timeout參數算出。此參數對非持久性cookie有意義。UserData： 這個(gè)屬性可以用應用程序寫(xiě)入一些用戶(hù)定義的數據,此方法沒(méi)有用到這個(gè)屬性,只是簡(jiǎn)單的將此屬性置為空字符串,請注意此屬性,在后面我們將要使用到這個(gè)屬性。Version： 版本號由系統自動(dòng)提供.RedirectFromLoginPage方法生成生成身份驗證票后，會(huì )調用FormsAuthentication.Encrypt 方法，將身份驗證票加密為字符串，這個(gè)字符串將會(huì )是以.ASPXAUTH為名字的一個(gè)Cookie的值。這個(gè)Cookie的其它屬性的生成：Domain，Path屬性為確省值，Expires視createPersistentCookie參數而定，若是持久cookie，Expires設為50年以后過(guò)期；若是非持久cookie，Expires屬性不設置。生成身份驗證Cookie后，將此Cookie加入到Response.Cookies中，等待發(fā)送到客戶(hù)端。最后RedirectFromLoginPage方法調用FormsAuthentication.GetRedirectUrl 方法獲取到用戶(hù)原先請求的頁(yè)面，重定向到這個(gè)頁(yè)面。3. <forms>標簽中的timeout和path,是提供了身份驗證票寫(xiě)入到Cookie過(guò)期時(shí)間和默認路徑。以上就是基于Forms身份驗證的過(guò)程，它完成了對用戶(hù)身份的確認。下面介紹基于Forms身份驗證的訪(fǎng)問(wèn)授權。二 訪(fǎng)問(wèn)授權驗證了身份，是要使用這個(gè)身份，根據不同的身份我們可以進(jìn)行不同的操作，處理，最常見(jiàn)的就是對不同的身份進(jìn)行不同的授權，Forms驗證就提供這樣的功能。Forms授權是基于目錄的，可以針對某個(gè)目錄來(lái)設置訪(fǎng)問(wèn)權限，比如，這些用戶(hù)可以訪(fǎng)問(wèn)這個(gè)目錄，那些用戶(hù)不能訪(fǎng)問(wèn)這個(gè)目錄。同樣，授權設置是在你要控制的那個(gè)目錄下的web.config文件中來(lái)設置：<authorization><allow users="comma-separated list of users"roles="comma-separated list of roles"verbs="comma-separated list of verbs" /><deny users="comma-separated list of users"roles="comma-separated list of roles"verbs="comma-separated list of verbs" /></authorization><allow>標簽表示允許訪(fǎng)問(wèn)，其中的屬性1. users：一個(gè)逗號分隔的用戶(hù)名列表，這些用戶(hù)名已被授予對資源的訪(fǎng)問(wèn)權限。問(wèn)號 (?) 允許匿名用戶(hù)；星號 (*) 允許所有用戶(hù)。2. roles：一個(gè)逗號分隔的角色列表，這些角色已被授予對資源的訪(fǎng)問(wèn)權限。3. verbs：一個(gè)逗號分隔的 HTTP 傳輸方法列表，這些 HTTP 傳輸方法已被授予對資源的訪(fǎng)問(wèn)權限。注冊到 ASP.NET 的謂詞為 GET、HEAD、POST 和 DEBUG。<deny>標簽表示不允許訪(fǎng)問(wèn)。其中的屬性同上面的。在運行時(shí)，授權模塊迭代通過(guò) <allow> 和 <deny> 標記，直到它找到適合特定用戶(hù)的第一個(gè)訪(fǎng)問(wèn)規則。然后，它根據找到的第一項訪(fǎng)問(wèn)規則是 <allow> 還是 <deny> 規則來(lái)允許或拒絕對 URL 資源的訪(fǎng)問(wèn)。Machine.config 文件中的默認身份驗證規則是 <allow users="*"/>，因此除非另行配置，否則在默認情況下會(huì )允許訪(fǎng)問(wèn)。那么這些user 和roles又是如何得到的呢？下面看一下授權的詳細過(guò)程：1. 一旦一個(gè)用戶(hù)訪(fǎng)問(wèn)這個(gè)網(wǎng)站，就行登錄確認了身份，身份驗證票的cookie也寫(xiě)到了客戶(hù)端。之后，這個(gè)用戶(hù)再次申請這個(gè)web的頁(yè)面，身份驗證票的cookie就會(huì )發(fā)送到服務(wù)端。在服務(wù)端，asp.net為每一個(gè)http請求都分配一個(gè)HttpApplication對象來(lái)處理這個(gè)請求，在HttpApplication.AuthenticateRequest事件后，安全模塊已建立用戶(hù)標識，就是此用戶(hù)的身份在web端已經(jīng)建立起來(lái)，這個(gè)身份完全是由客戶(hù)端發(fā)送回來(lái)的身份驗證票的cookie建立的。2. 用戶(hù)身份在HttpContext.User 屬性中，在頁(yè)面中可以通過(guò)Page.Context 來(lái)獲取同這個(gè)頁(yè)面相關(guān)的HttpContext對象。對于Forms驗證，HttpContext.User屬性是一個(gè)GenericPrincipal類(lèi)型的對象，GenericPrincipal只有一個(gè)公開(kāi)的屬性Identity，有個(gè)私有的m_role屬性，是string[]類(lèi)型，存放此用戶(hù)是屬于哪些role的數組，還有一個(gè)公開(kāi)的方法IsInRole(string role)，來(lái)判斷此用戶(hù)是否屬于某個(gè)角色。由于身份驗證票的cookie中根本沒(méi)有提供role這個(gè)屬性，就是說(shuō)Forms身份驗證票沒(méi)有提供此用戶(hù)的role信息，所以，對于Forms驗證，在服務(wù)端得到的GenericPrincipal 用戶(hù)對象的m_role屬性永遠是空的。3. GenericPrincipal. Identity 屬性是一個(gè)FormsIdentity類(lèi)型的對象，這個(gè)對象有個(gè)Name屬性，就是此用戶(hù)的標示，訪(fǎng)問(wèn)授權就是將此屬性做為user來(lái)進(jìn)行授權驗證的。FormsIdentity還有一個(gè)屬性，就是Ticket屬性，此屬性是身份驗證票FormsAuthenticationTicket類(lèi)型，就是之前服務(wù)器寫(xiě)到客戶(hù)端的身份驗證票。服務(wù)器在獲取到身份驗證票FormsAuthenticationTicket對象后，查看這個(gè)身份驗證票是不是非持久的身份驗證，是的話(huà)要根據web.config中timeout屬性設置的有效期來(lái)更新這個(gè)身份驗證票的cookie（為避免危及性能，在經(jīng)過(guò)了超過(guò)一半的指定時(shí)間后更新該 Cookie。這可能導致精確性上的損失。持久性 Cookie 不超時(shí)。）4. 在HttpApplication.ResolveRequestCache事件之前，asp.net開(kāi)始取得用戶(hù)請求的頁(yè)面，建立HttpHandler控制點(diǎn)。這就意味著(zhù)，在HttpApplication.ResolveRequestCache事件要對用戶(hù)訪(fǎng)問(wèn)權限就行驗證，看此用戶(hù)或角色是否有權限訪(fǎng)問(wèn)這個(gè)頁(yè)面，之后在這個(gè)請求的生命周期內再改變此用戶(hù)的身份或角色就沒(méi)有意義了。以上是Forms驗證的全過(guò)程，可以看出，這個(gè)Forms驗證是基于用戶(hù)的，沒(méi)有為角色的驗證提供直接支持。身份驗證票FormsAuthenticationTicket 中的Name屬性是用戶(hù)標示，其實(shí)還有一個(gè)屬性UserData，這個(gè)屬性可以由應用程序來(lái)寫(xiě)入自定義的一些數據，我們可以利用這個(gè)字段來(lái)存放role的信息，從而達到基于角色驗證的目的。Forms身份驗證基于角色的授權一 身份驗證在web.config的<authentication>的設置還是一樣：<authentication mode="forms"><forms name=".ASPXAUTH " loginUrl="/login.aspx" timeout="30" path= "/"></forms></authentication>/login.aspx驗證用戶(hù)合法性頁(yè)面中，在驗證了用戶(hù)的合法性后，還要有個(gè)取得此用戶(hù)屬于哪些role的過(guò)程，這個(gè)看各個(gè)應用的本身如何設計的了，一般是在數據庫中會(huì )有個(gè)use_role表，可以從數據庫中獲得此用戶(hù)屬于哪些role，在此不深究如何去獲取用戶(hù)對應的role，最后肯定能夠獲得的此用戶(hù)對應的所有的role用逗號分割的一個(gè)字符串。在上面的非基于角色的方法中，我們用了FormsAuthentication.RedirectFromLoginPage 方法來(lái)完成生成身份驗證票,寫(xiě)回客戶(hù)端,瀏覽器重定向等一系列的動(dòng)作。這個(gè)方法會(huì )用一些確省的設置來(lái)完成一系列的動(dòng)作，在基于角色的驗證中我們不能用這一個(gè)方法來(lái)實(shí)現，要分步的做，以便將一些定制的設置加進(jìn)來(lái)：1. 首先要根據用戶(hù)標示，和用戶(hù)屬于的角色的字符串來(lái)創(chuàng )建身份驗證票public FormsAuthenticationTicket(int version, //設為1string name, //用戶(hù)標示DateTime issueDate, //Cookie 的發(fā)出時(shí)間, 設置為 DateTime.NowDateTime expiration, //過(guò)期時(shí)間bool isPersistent, //是否持久性(根據需要設置,若是設置為持久性,在發(fā)出cookie時(shí),cookie的Expires設置一定要設置)string userData, //這里用上面準備好的用逗號分割的role字符串string cookiePath // 設為"/",這要同發(fā)出cookie的路徑一致,因為刷新cookie要用這個(gè)路徑);FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket (1,"kent",DateTime.Now, DateTime.Now.AddMinutes(30), false,UserRoles,"/") ;2. 生成身份驗證票的Cookie2.1 將身份驗證票加密序列化成一個(gè)字符串string HashTicket = FormsAuthentication.Encrypt (Ticket) ;2.2 生成cookieHttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket) ;FormsAuthentication.FormsCookieName 是用來(lái)獲取web.config中設置的身份驗證cookie的名字,缺省為" .ASPXAUTH".若身份驗證票中的isPersistent屬性設置為持久類(lèi),則這個(gè)cookie的Expires屬性一定要設置,這樣這個(gè)cookie才會(huì )被做為持久cookie保存到客戶(hù)端的cookie文件中.3. 將身份驗證票Cookie輸出到客戶(hù)端通過(guò)Response.Cookies.Add(UserCookie) 將身份驗證票Cookie附加到輸出的cookie集合中,發(fā)送到客戶(hù)端.4. 重定向到用戶(hù)申請的初試頁(yè)面.驗證部分代碼(這部分代碼是在login.aspx頁(yè)面上點(diǎn)擊了登錄按鈕事件處理代碼):private void Buttonlogin_Click(object sender, System.EventArgs e){string user = TextBoxUser.Text; //讀取用戶(hù)名string password = TextBoxPassword.Text; //讀取密碼if(Confirm(user,password) == true) //confirm方法用來(lái)驗證用戶(hù)合法性的{string userRoles = UserToRole(user); //調用UserToRole方法來(lái)獲取role字符串FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket (1,user,DateTime.Now,          DateTime.Now.AddMinutes(30), false,userRoles,"/") ; //建立身份驗證票對象string HashTicket = FormsAuthentication.Encrypt (Ticket) ; //加密序列化驗證票為字符串HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket) ;//生成CookieContext.Response.Cookies.Add (UserCookie) ; //輸出CookieContext.Response.Redirect (Context.Request["ReturnUrl"]) ; // 重定向到用戶(hù)申請的初始頁(yè)面}else{// 用戶(hù)身份未被確認時(shí)的代碼}}//此方法用來(lái)驗證用戶(hù)合法性的private bool Confirm(string user,string password){//相應的代碼}//此方法用來(lái)獲得的用戶(hù)對應的所有的role用逗號分割的一個(gè)字符串private string UserToRole(string user){//相應的代碼}二 基于角色訪(fǎng)問(wèn)授權這里我們要做的是,將客戶(hù)端保存的身份驗證票中UserData中保存的表示角色的信息恢復到在服務(wù)端表示用戶(hù)身份的GenericPrincipal對象中(記住,原來(lái)的驗證過(guò)程中, GenericPrincipal對象只包含了用戶(hù)信息,沒(méi)有包含role信息)一個(gè)Http請求的過(guò)程中,HttpApplication.AuthenticateRequest事件表示安全模塊已建立用戶(hù)標識，就是此用戶(hù)的身份在web端已經(jīng)建立起來(lái), 在這個(gè)事件之后我們就可以獲取用戶(hù)身份信息了.在HttpApplication.ResolveRequestCache事件之前，asp.net開(kāi)始取得用戶(hù)請求的頁(yè)面，建立HttpHandler控制點(diǎn),這時(shí)就已經(jīng)要驗證用戶(hù)的權限了,所以恢復用戶(hù)角色的工作只能在HttpApplication.AuthenticateRequest事件和HttpApplication.ResolveRequestCache事件之間的過(guò)程中做.我們選擇Application_AuthorizeRequest事件中做這個(gè)工作,可以在global.asax文件中處理HttpApplication的所有的事件,代碼如下:protected void Application_AuthorizeRequest(object sender, System.EventArgs e){HttpApplication App = (HttpApplication) sender;HttpContext Ctx = App.Context ; //獲取本次Http請求相關(guān)的HttpContext對象if (Ctx.Request.IsAuthenticated == true) //驗證過(guò)的用戶(hù)才進(jìn)行role的處理{FormsIdentity Id = (FormsIdentity)Ctx.User.Identity ;FormsAuthenticationTicket Ticket = Id.Ticket ; //取得身份驗證票string[] Roles = Ticket.UserData.Split (',') ; //將身份驗證票中的role數據轉成字符串數組Ctx.User = new GenericPrincipal (Id, Roles) ; //將原有的Identity加上角色信息新建一個(gè)GenericPrincipal表示當前用戶(hù),這樣當前用戶(hù)就擁有了role信息}}訪(fǎng)問(wèn)者同時(shí)具有了user和role信息,就可以據此在web.config中用role來(lái)控制用戶(hù)的訪(fǎng)問(wèn)權限了.