ASP.NET安全认证(二)灵活运用表单认证中的deny与allow及保护.htm等文件

asp.net|安全

话说上回,简单地说了一下 Form 表单认证的用法。或许大家觉得太简单,对那些大内高手来说应该是“洒洒水啦”“小 Kiss 啦(小意思)”。今天咱们来点的花样吧:古有六扇门,拒收叶孤城;东门不刮风,吹雪姓西门;缎带作凭证,决战紫禁城。

五、Web.config 的作用范围

新建项目时, VS.Net 会在项目根目录建立一个内容固定的 Web.config。除了在项目根目录,你还可以在任一目录下建立 Web.config ,条件就是应用程序级别的节点只能在根目录的 Web.config 中出现。至于哪些是应用程序级别节点呢,这个问题嘛,其实我也不太清楚,呵呵。电脑不是我发明的,微软不是我创建的,C# 更不是我说了算的,神仙也有不知道的,所以我不晓得是正常的。话虽如此,只要它不报错,那就是对的。

关于 Web.config 设置的作用范围,记住以下两点:

1、  Web.config 的设置将作用于所在目录的所有文件及其子目录下的所有东东(继承:子随父姓)

2、  子目录下的 Web.config 设置将覆盖由父目录继承下来的设置(覆盖:县官不如现管)

给大家提个问题:有没有比根目录Web.config 的作用范围还大的配置文件呢?看完第三部分便知分晓。

六、学会拒绝与巧用允许

回到我们在第一回合新建的测试项目“FormTest” ,既然要进行验证,按国际惯例,就得有用户名与密码。那,这些用户是管理员自己在数据库建好呢,还是用户注册、管理员审核好呢。只要不是一般的笨蛋,都知道选择后者。你们还别说,我公司还真有个别项目是管理员连到数据库去建帐号的,属于比较特殊的笨蛋,咱们不学他也罢,还是老老实实添加两个页面吧——注册页面(Register.aspx)与审核页面(Auditing.aspx)。

问题终于就要浮出水面啦,当你做好 Register.aspx 时,想访问它的时候突然觉得不对劲,怎么又回到了登录页面?你仔细瞧瞧网址,是不是成了:Login.aspx?ReturnUrl=Register.aspx 。怎么办,用户就是因为没有帐号才去访问注册页面的呀?(这句纯属废话,有帐号谁还跑去注册。)我时常对我的同事说:“办法是人想出来滴!!”

1、  新建一个目录 Public ,用于存放一些公用的文件,如万年历、脚本呀……

2、  在“解决方案资源管理器”中右击点击目录 Public ,新增一个 Web.config

3、  把上述 Web.config 的内容统统删除,仅留以下即可:

<?xml version="1.0" encoding="utf-8"?>

<configuration>

  <system.web>

   <authorization><allow users="*"/></authorization>

 </system.web>

</configuration>

终于切入正题了,不容易呀。根据“覆盖”原则,我们知道上述 Web.config 将替代根目录 Web.config 中的 <authorization> 节点设置,即:

       <allow users="*"/> 替换 <deny users="?"></deny>

注解:“allow”允许的意思;“*”表示所有用户;

        “deny” 拒绝的意思;“?”表示匿名用户;

因此,处于 Public 目录下的文件,允许所有人浏览,包括未验证的用户。把 Register.aspx 拖进来吧,再也不会有人阻止你浏览啦。

除了注册页面,我们还提到一个审核页面(Auditing.aspx),审核权限一般都在管理员或主管手里,并不想让其他人浏览此页面(真理往往掌握在少数人的手里,这也是没法子的事),怎么办?“办法是人想出来滴”呵呵……新建一个管理员的目录 ManageSys ,在此目录下再新增一个 Web.config。内容如下:

<?xml version="1.0" encoding="utf-8"?>

<configuration>

<system.web>

<authorization>

<allow users="Admin"/>

<deny users="*"/>

</authorization>

  </system.web>

</configuration>

现在的问题就是怎么才能知道谁是“Admin”呢,这个问题就有点象“我的鞋底有个洞”—— 天不知地知,你不知我知。闲话少说(要是有稿费多好,我就有多写几个字的动力,唉……),大家还记得我在第一部分的结尾吗?什么,忘啦!罚你回去看一百遍,记住了再回来。站住,回来!一想到你的记性,我就不放心,第一部分的浏览网址是http://blog.csdn.net/cityhunter172/archive/2005/11/06/524043.aspx,回到此处的网址是http://blog.csdn.net/cityhunter172/archive/2005/11/13/528463.aspx

好了,不管那些记不好的家伙了,大伙继续往下看。

System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false); //通过验证,发放 Cookie

之前我曾强调,要注意,第一个参数很重要,重要到什么程度?说到这,恐怕地球人都知道了——它就是allow与deny的依据。假如此处用户填写的是“Admin”即 this.Txt_UserName.Text = "Admin"; 那么进入系统后,他就能访问 ManageSys 目录下的网页了,其它闲杂人等一律拒之门外。

为巩固上述内容,给大伙留个课外作业:此项目有两部门使用,其中每个部门分别都有些特定的页面仅供本部门用户浏览使用,请问该如何使用 Web.config 达到效果?同样,答案在第三部分揭晓

[1] [2] [3] 下一页  

时间: 2024-11-18 07:37:01

ASP.NET安全认证(二)灵活运用表单认证中的deny与allow及保护.htm等文件的相关文章

ASP.NET安全认证(二)灵活运用表单认证中的 deny 与 allow 及保护 .htm 等文件

asp.net|安全 话说上回,简单地说了一下 Form 表单认证的用法.或许大家觉得太简单,对那些大内高手来说应该是"洒洒水啦""小 Kiss 啦(小意思)".今天咱们来点的花样吧:古有六扇门,拒收叶孤城:东门不刮风,吹雪姓西门:缎带作凭证,决战紫禁城. 五.Web.config 的作用范围 新建项目时, VS.Net 会在项目根目录建立一个内容固定的 Web.config.除了在项目根目录,你还可以在任一目录下建立 Web.config ,条件就是应用程序级别的

ASP.NET 安全认证(一):如何运用 Form 表单认证

asp.net|安全 代码写 N 久了,总想写得别的.这不,上头说在整合两个项目,做成单一登录(Single Sign On),也有人称之为"单点登录".查阅相关文档后,终于实现了,现在把它拿出来与大家一起分享.或许大家会问:"这与标题不符呀?"别急,在下笔之前,我脑子里想到了我刚使用 Form 认证时遇到的一些问题,以及使用过程用到的一些技巧(实乃投机取巧是也 ^_^ ).偶打初中那时,语文水平就不怎么滴,考试常常作文写不出来,所以写作水平有限,还请大家海量.对了

轻松玩转花样表单(二)花样表单

二.表单外观的美化 很多时候,我们仅仅为了实现数据采集这个功能来使用表单,常看到的表单都是"千人一面".毫无生气,本专题尝试着来改变这一现象,试图赋予表单一个丰富多彩的面貌.表单的外观,也是最为直接的花样,可以通过改变它来实现特效,本文分两个出发点来讲述:CSS魔法和图像魔法. 1.CSS魔法 CSS,就是大家知道的层叠样式单,它可以定义页面元素的外观,包括字体样式.背景颜色和图像样式.边框样式.补白样式.边界样式等等,下面就从这几个方面出发,讨论怎样将CSS应用到表单中,彻底美化它!

Form authentication(表单认证)问题

前言 最近在做ASP.NET MVC中表单认证时出了一些问题,特此记录. 问题 进行表单认证时,在 PostAuthenticateRequest 事件中从Cookie值中解密票据.如下: protected void Application_PostAuthenticateRequest(Object sender, EventArgs e) { var authCookie = Request.Cookies[FormsAuthentication.FormsCookieName]; if

支持ASP.NET MVC、WebFroM的表单验证框架ValidationSuar使用介绍

  这篇文章主要介绍了支持ASP.NET MVC.WebFroM的表单验证框架ValidationSuar使用介绍,本文详细讲解了使用步骤,并给出一个完整Demo下载,需要的朋友可以参考下 1.支持javascript端和后端的双重验证 (前端目前依赖于jquery.validate.js,也可以自已扩展) 2.代码简洁 3.调用方便 4.功能齐全 使用方法: 新建初始化类,将所有需要验证的在该类进行初始化,语法相当简洁并且可以统一管理,写完这个类你的验证就完成了70% 函数介绍: Add 默认

asp.net获取HTML表单File中的路径的方法

 这篇文章主要介绍了asp.net怎么获取HTML表单File中的路径,需要的朋友可以参考下  代码如下: #region 上传文件到数据库和服务器  public void FN_UpFiles()  {  //遍历File表单元素  HttpFileCollection files = HttpContext.Current.Request.Files;  try  {  for (int iFile = 0; iFile < files.Count; iFile++)  {  //检查文件

SharePoint 2013 修改表单认证登录页面

前 言 之前的博客我们介绍了如何为SharePoint配置表单登陆,但是,登陆页面是丑.很丑.非常丑.特别非常丑!我们现在就介绍一下如何定制SharePoint表单登陆页面! SharePoint 表单认证的页面,在每个Web App的端口下的_forms文件夹中,如下图: 进去发现有一个页面和一个配置文件,我们主要修改这个页面就可以了,如下图: 主要就是修改table里面的格式,我们通常新建一个Table替换掉现有的,然后把相应控件移动到我们需要的位置,即可,如下图: 我们把自己修改好的HTM

js表单处理中单选、多选、选择框值的获取及表单的序列化_javascript技巧

本文总结了下在表单处理中单选.多选.选择框值的获取及表单的序列化,写成了一个对象.如下: var formUtil = { // 获取单选按钮的值,如有没有选的话返回null // elements为radio类的集合的引用 getRadioValue:function(elements) { var value = null; // null表示没有选中项 // 非IE浏览器 if(elements.value != undefined && elements.value != '')

表单验证中时间起止 如何做到递归处理

表单验证中时间起止判断的递归处理 在最近一个项目中,表单验证需要对时间的起止范围进行判断:结束时间需大于或等于开始时间.即:结束年须大于起始年:如果相等,则比较起始月与结束月:如果起止月也相等,则比较日期.那么,对于每一次验证,可以用下面这个函数来进行比较. function compare(begin,end,error){    var begin = parseInt(begin,10);    var end = parseInt(end,10);    var diff = end -