江西财经大学软件与通信工程学院A SP.NET程序设计课件 第9章.ppt

第9章 用户和角色管理 作者：沈士根、汪承焱、许小东 清华大学出版社 本章要点： 2 了解Windows身份验证，掌握Forms身份验证。 掌握网站管理工具的应用。 掌握登录系列控件的应用。 掌握常用的Membership和Roles类的方法。 目录 3 9.1 身份验证和授权 9.1.1 Windows身份验证 9.1.2 Forms身份验证 9.2 成员资格和角色管理概述 9.2.1 成员资格管理 9.2.2 角色管理 9.3 利用网站管理工具实现成员资格和角色管理 9.4 利用登录系列控件实现用户身份验证 9.4.1 Login控件 目录 4 9.4.2 CreateUserWizard控件 9.4.3 LoginName控件 9.4.4 LoginStatus控件 9.4.5 LoginView控件 9.4.6 ChangePassword控件 9.4.7 PasswordRecovery控件 9.5 调用Membership和Roles类进行用户和角色管理 9.6 小结 9.1 身份验证和授权 5 身份验证：要告知服务器发出请求的用户是谁。 授权：通过身份验证后，用户能访问哪些资源。 身份验证方式：Federated身份验证、Forms身份验证、None身份验证、Passport身份验证和Windows身份验证。 9.1.1 Windows身份验证 6 基于Windows操作系统用户和用户组，适合于企业内部网站使用。 服务器端和客户端都必须是Windows操作系统，且Web服务器的硬盘格式必须是NTFS。 依靠IIS来执行所需的用户验证，包括匿名身份验证、集成Windows身份验证、Windows域服务器的摘要身份验证和基本身份验证等 需配合使用Windows的NTFS访问控制列表（ACL）。 配置使用Windows身份验证的IIS 7.5网站 7 （1）启动IIS 7.5，启用“Windows身份验证” 。 （2）在Windows操作系统中新建一个用户组，（3）设置网站对应文件夹的授权。 （4）打开Web.config文件，在system.web元素中添加以下代码。 authentication mode=Windows/authentication 输入操作系统中的用户名和密码界面 8 9.1.2 Forms身份验证 9 适合于Internet站点，是大多数Web应用程序使用的方式。 本身并不能进行验证，而是使用自定义的用户界面收集用户信息，再通过自定义代码实现验证。 需配合使用ASP.NET 4.5的成员资格和角色管理。其中，成员资格用于管理用户，角色用于管理授权。 访问受保护页面的步骤 10 用户请求受保护的页面（以Default.aspx为例）。 ASP.NET 4.5调用Forms身份验证服务获取用户请求，并检查其中是否包含用户凭据。 如果未发现任何用户凭据，将自动转向用户登录页面（以Login.aspx为例）。 初次请求的页面地址Default.aspx将以ReturnUrl值（ReturnUrl是QueryString中的键值对）的形式，附加在登录页面Login.aspx地址的后面。当用户通过身份验证后，ASP.NET 4.5将根据ReturnUrl值把页面重定向到Default.aspx。 通过forms元素配置Forms身份验证 11 属性 说明 cookieless 指定是否使用Cookie以及使用Cookie的方式 defaultUrl 指定用户通过身份验证后需重定向的页面地址，默认值为Default.aspx loginUrl 指定在未找到身份验证信息时需重定向的页面地址，通常是登录页面地址，默认值为Login.aspx name 指定用于身份验证的Cookie名，默认值为.ASPXAUTH protection 指定身份验证Cookie使用的加密类型 requireSSL 逻辑值，指定是否需要SSL连接传输身份验证Cookie timeout 指定身份验证Cookie的过期时间，默认值为30分钟 9.1.2 Forms身份验证（续） 12 与Forms身份验证密切相关的类是FormsAuthentication类。 通过访问类的属性获取forms元素中的属性值。还有，该类提供的方法能够管理Forms身份验证。例如，针对未经过身份验证的用户，RedirectToLoginPage()方法将页面重定向到forms元素中loginUrl属性设置的URL。 实现Forms身份验证的步骤 13 （1）配置Web.config文件中的authentication和authorization元素。 （2）建立登录页面。 （3）在其他页面，使用Requ