第二部分 Form 認證的實戰(zhàn)運用?

?

話說上回，簡單地說了一下 Form 表單認證的用法?；蛟S大家覺得太簡單，對那些大內高手來說應該是“灑灑水啦”“小 Kiss 啦（小意思）”。今天咱們來點的花樣吧：古有六扇門，拒收葉孤城；東門不刮風，吹雪姓西門；緞帶作憑證，決戰(zhàn)紫禁城。

?

?

?

?

?

?

?

五、??????? Web.config 的作用范圍

?

?

?

?

?

?

?

新建項目時， VS.Net 會在項目根目錄建立一個內容固定的 Web.config。除了在項目根目錄，你還可以在任一目錄下建立 Web.config ，條件就是應用程序級別的節(jié)點只能在根目錄的 Web.config 中出現。至于哪些是應用程序級別節(jié)點呢，這個問題嘛，其實我也不太清楚，呵呵。電腦不是我發(fā)明的，微軟不是我創(chuàng)建的，C# 更不是我說了算的，神仙也有不知道的，所以我不曉得是正常的。話雖如此，只要它不報錯，那就是對的。

?

?

?

?

?

?

?

關于 Web.config 設置的作用范圍，記住以下兩點：

?

?

?

?

?

?

?

1、? Web.config 的設置將作用于所在目錄的所有文件及其子目錄下的所有東東（繼承：子隨父姓）

?

?

?

?

?

?

?

2、? 子目錄下的 Web.config 設置將覆蓋由父目錄繼承下來的設置（覆蓋：縣官不如現管）

?

?

?

?

?

?

?

給大家提個問題：有沒有比根目錄Web.config 的作用范圍還大的配置文件呢？看完第三部分便知分曉。

?

?

?

?

?

?

?

六、??????? 學會拒絕與巧用允許

?

?

?

?

?

?

?

回到我們在第一回合新建的測試項目“FormTest” ，既然要進行驗證，按國際慣例，就得有用戶名與密碼。那，這些用戶是管理員自己在數據庫建好呢，還是用戶注冊、管理員審核好呢。只要不是一般的笨蛋，都知道選擇后者。你們還別說，我公司還真有個別項目是管理員連到數據庫去建帳號的，屬于比較特殊的笨蛋，咱們不學他也罷，還是老老實實添加兩個頁面吧——注冊頁面（Register.aspx）與審核頁面（Auditing.aspx）。

?

?

?

?

?

?

?

問題終于就要浮出水面啦，當你做好 Register.aspx 時，想訪問它的時候突然覺得不對勁，怎么又回到了登錄頁面？你仔細瞧瞧網址，是不是成了：Login.aspx?ReturnUrl=Register.aspx 。怎么辦，用戶就是因為沒有帳號才去訪問注冊頁面的呀？（這句純屬廢話，有帳號誰還跑去注冊。）我時常對我的同事說：“辦法是人想出來滴！！”

?

?

?

?

?

?

?

1、? 新建一個目錄 Public ，用于存放一些公用的文件，如萬年歷、腳本呀……

?

?

?

?

?

?

?

2、? 在“解決方案資源管理器”中右擊點擊目錄 Public ，新增一個 Web.config

?

?

?

?

?

?

?

3、? 把上述 Web.config 的內容統(tǒng)統(tǒng)刪除，僅留以下即可：

?

?

?

?

?

?

?

<?xml version="1.0" encoding="utf-8"?>

?

?

?

?

?

?

?

<configuration>

?

?

?

?

?

?

?

? <system.web>

?

?

?

?

?

?

?

?? <authorization><allow users="*"/></authorization>

?

?

?

?

?

?

?

?</system.web>

?

?

?

?

?

?

?

</configuration>

?

?

?

?

?

?

?

終于切入正題了，不容易呀。根據“覆蓋”原則，我們知道上述 Web.config 將替代根目錄 Web.config 中的 <authorization> 節(jié)點設置，即：

?

?

?

?

?

?

?

?????? <allow users="*"/> 替換 <deny users="?"></deny>

?

?

?

?

?

?

?

注解：“allow”允許的意思；“*”表示所有用戶；

?

?

?

?

?

?

?

?????? ?“deny” 拒絕的意思；“?”表示匿名用戶；

?

?

?

?

?

?

?

因此，處于 Public 目錄下的文件，允許所有人瀏覽，包括未驗證的用戶。把 Register.aspx 拖進來吧，再也不會有人阻止你瀏覽啦。

?

?

?

?

?

?

?

除了注冊頁面，我們還提到一個審核頁面（Auditing.aspx），審核權限一般都在管理員或主管手里，并不想讓其他人瀏覽此頁面（真理往往掌握在少數人的手里，這也是沒法子的事），怎么辦？“辦法是人想出來滴”呵呵……新建一個管理員的目錄 ManageSys ，在此目錄下再新增一個 Web.config。內容如下：

?

?

?

?

?

?

?

<?xml version="1.0" encoding="utf-8"?>

?

?

?

?

?

?

?

<configuration>

?

?

?

?

?

?

?

<system.web>

?

?

?

?

?

?

?

<authorization>

?

?

?

?

?

?

?

<allow users="Admin"/>

?

?

?

?

?

?

?

<deny users="*"/>

?

?

?

?

?

?

?

</authorization>

?

?

?

?

?

?

?

? </system.web>

?

?

?

?

?

?

?

</configuration>

?

?

?

?

?

?

?

現在的問題就是怎么才能知道誰是“Admin”呢，這個問題就有點象“我的鞋底有個洞”—— 天不知地知，你不知我知。閑話少說（要是有稿費多好，我就有多寫幾個字的動力，唉……），大家還記得我在第一部分的結尾嗎？什么，忘啦！罰你回去看一百遍，記住了再回來。站住，回來！一想到你的記性，我就不放心，第一部分的瀏覽網址是http://blog.csdn.net/cityhunter172/archive/2005/11/06/524043.aspx ，回到此處的網址是http://blog.csdn.net/cityhunter172/archive/2005/11/13/528463.aspx

?

?

?

?

?

?

?

好了，不管那些記不好的家伙了，大伙繼續(xù)往下看。

?

?

?

?

?

?

?

System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false); //通過驗證，發(fā)放 Cookie

?

?

?

?

?

?

?

之前我曾強調，要注意，第一個參數很重要，重要到什么程度？說到這，恐怕地球人都知道了——它就是allow與deny的依據。假如此處用戶填寫的是“Admin”即 this.Txt_UserName.Text = "Admin"; 那么進入系統(tǒng)后，他就能訪問 ManageSys 目錄下的網頁了，其它閑雜人等一律拒之門外。

?

?

?

?

?

?

?

為鞏固上述內容，給大伙留個課外作業(yè)：此項目有兩部門使用，其中每個部門分別都有些特定的頁面僅供本部門用戶瀏覽使用，請問該如何使用 Web.config 達到效果？同樣，答案在第三部分揭曉

?

?

?

?

?

?

?

七、??????? 分散與集中

?

?

?

?

?

?

?

乍看之下，就象是馬克思列寧主義、***思想、鄧小平理論中的辯證關系，大伙放心，偶是學理科的，只明白“高舉程序員的偉大旗幟，以編寫代碼為中心”。?！?/span>

?

?

?

?

?

?

?

到目前為此，我們的測試項目“FormTest”已經擁有兩個目錄三個 Web.config ，伴隨用戶需求的多樣化，Web.config 也會越來越多，比如常用的文件上傳功能等等。眾多的 Web.config 分布在不同的目錄里面，維護起來肯定比較煩人。能不能集中起來管理呢，應該咋辦哩？“辦法是……”喲，有人先說出來啦。不錯，“辦法的確是人想出來滴” ，我不說，你是不是只有在一邊涼伴？開玩笑的，為了讓更多的人記住這句話，我打算告訴你集中管理的辦法。

?

?

?

?

?

?

?

要想集中管理，不得不用到 <location> 節(jié)點與 path 屬性。在本項目中，我們將目錄 Public 與 ManageSys 下的設置放在根目錄下的 Web.config 里面，如下：

<?xml version="1.0" encoding="utf-8"?>

?

?

?

?

?

?

?

<configuration>

?

?

?

?

?

?

?

<location path ="Public">

?

?

?

?

?

?

?

? ????????? <system.web>

?

?

?

?

?

?

?

?? ???????????? <authorization>

?

?

?

?

?

?

?

<allow users="*"/>

?

?

?

?

?

?

?

</authorization>

?

?

?

?

?

?

?

??????????? </system.web>

?

?

?

?

?

?

?

?????? </location>

?

?

?

?

?

?

?

<location path ="ManageSys">

?

?

?

?

?

?

?

? ????????? <system.web>

?

?

?

?

?

?

?

?? ??? <authorization>

?

?

?

?

?

?

?

<allow users="Admin"/>

?

?

?

?

?

?

?

<deny users="*"/>

?

?

?

?

?

?

?

</authorization>

?

?

?

?

?

?

?

??????????? </system.web>

?

?

?

?

?

?

?

?????? </location>

?

?

?

?

?

?

?

?????? <system.web>

?

?

?

?

?

?

?

??????????????????????????? <!-- 這里放置原來根目錄 Web.config 的內容，就不列出來了 -->

（本文出自寒羽楓 cityhunter172 的博客：http://blog.csdn.net/cityhunter172?個人站點：http://172.meibu.com）

?

?

?

?

?

?

?

?????? </system.web>

?

?

?

?

?

?

?

</configuration>

?

?

?

?

?

?

?

?????? 需要提醒的是

?

?

?

?

?

?

?

1、? <location> 節(jié)點的位置是在 <<SPAN lang=EN-US style="FONT-SIZE: 9pt; COLOR: maroon; FONT-FAMILY: 新宋體; mso-hansi-font

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

?

轉載于:https://www.cnblogs.com/zhuawang/archive/2007/04/07/704282.html

總結

以上是生活随笔為你收集整理的ASP.NET 安全认证（二）——灵活运用deny与allow 及保护.htm等文件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。