注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

天涯倦客的博客

祝福你朋友永远快乐!

 
 
 

日志

 
 

使用Forms Authentication实现用户注册、登录(三)  

2011-11-30 17:36:43|  分类: asp.net |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

最后,在“登录”按钮的事件处理器中添加如下代码,调用刚刚写好的Membership.Login方法,完成登录。
protected void btnLogin_Click(object sender, EventArgs e)
{
     try
     {
         Membership.Login(txtUserName.Text, txtPassword.Text, chkRememberMe.Checked);
     }
     catch(Exception ex)
     {
         lblMessage.Text = "错误:" + ex.Message;
     }
}

   至此,用户登录功能就OK了。由于之前已经完成了判断用户是否登录的代码,现在就可以运行示例,注册一个用户并尝试从各个页面进入登录页进行登录了。

用户注销

  至此,我们已经为用户进入我们的系统提供了宽敞大路;但作为一个负责任的程序,我们还得确保当用户离开我们的程序时,能够“挥一挥衣袖”不留下一丝痕迹。这个安全离开的行为,我们称之为“注销”;要抹去的“痕迹”也就是登录时留下的用户凭据Cookie。

  本文的第一部分已经介绍过,FormsAuthentication.SignOut方法可以协助完成这一任务。我们在MasterPage中也预先放置好了一个“注销”链接按钮,在这里,只要为该按钮添加如下事件处理器即可:
protected void btnLogout_Click(object sender, EventArgs e)
{
     FormsAuthentication.SignOut();
     Response.Redirect(Request.RawUrl);
}

   在这里,首先通过调用FormsAuthentication.SignOut方法移除了用户凭证Cookie。这个方法并不能自动完成跳转,因此我么必须自己完成跳转任务。关于注销后跳转到哪个页面,每个应用程序都有自己的方式(如跳到登录页或跳到首页等),这里选择的是刷新当前页。

小结

  好了,到现在为止,完整的用户注册、登录功能就都实现了。由于有了FormsAuthentication类,这一任务已经非常简单了。这一部分仅仅是从实践的角度顺序操作了一下。

 

  下一部分将介绍如何将我们自己的用户实体放到HttpContext.User属性中。

三 用户实体替换

IPrincipal和IIdentity

  通过查阅文档,我们可以看到HttpContext.User属性的类型是IPrincipal接口。然而我们知道,接口通常是不能直接访问的,其背后必定隐藏了一个实现了该接口的对象。那么这个实际对象的类型是什么呢?

  让我们在前面示例的MasterPage的Page_Init方法上加一个断点,再次运行程序,可以得到HttpContext.User属性的真正类型是System.Security.Principal.GenericPrincipal。

  查看IPrincipal接口的定义,可以看到它只有一个公开属性——Identity,其类型是这里要提到的另外一个重要接口IIdentity。通过上面的断点跟踪,我们还能知道对于GenericPrincipal而言,其Identity属性的实际类型是GenericIdentity,也是位于System.Security.Principal命名空间中。

  由此,我们引出了.NET Framework中关于Principal(实体)的整个类型系统。所有这些类型都位于mscorlib.dll程序集中,由此也可以看出,这套模型隶属于整个系统的基石。

实现自己的IPrincipal

  要想用自己的实体对象替换HttpContext.User,就必须让自己的实体对象实现IPrincipal接口;通常还必须伴随着实现IIdentity接口。

  目前系统中有的是一个数据实体对象。一般而言,实现IPrincipal接口有一下两种方式——
?编写单独的类型实现IPrincipal接口,并在其中包含数据实体对象;
?修改数据实体对象使其实现IPrincipal接口。

  对于这两种方式而言,其Identity属性可以通过以下三种方式实现——
?使用.NET Framework提供的GenericIdentity;
?创建自定义的类,实现Identity接口;
?修改数据实体对象或自定义的实体类,让它们同时实现IPrincipal和IIdentity接口。

  对于简单的应用程序而言,通常可以修改数据实体对象,使其同时实现IPrincipal和IIdentity接口。而就复杂的分层架构应用程序,则建议在逻辑层创建分别实现了IPrincipal和IIdentity接口的对象。本文的示例明显属于前一种情况,因此我们考虑修改作为数据实体类的UserObject类,让其实现两个接口。以下是修改完毕的UserObject类:
public class UserObject : IPrincipal, IIdentity
{
     /// <summary>
     /// 用户名。
     /// </summary>
     public string Name;

     /// <summary>
     /// 密码散列值。
     /// </summary>
     public string PasswordHash;

     /// <summary>
     /// 密码salt值。
     /// </summary>
     public string PasswordSalt;

     #region IIdentity Members

     public string AuthenticationType
     {
         get
         {
              return "Froms";
         }
     }

     public bool IsAuthenticated
     {
         get
         {
              return true;
         }
     }

     string IIdentity.Name
     {
         get
         {
              return this.Name;
         }
     }

     #endregion

     #region IPrincipal Members

     public IIdentity Identity
     {
         get
         {
              return this;
         }
     }

     public bool IsInRole(string role)
     {
         return false;
     }

     #endregion
}

   首先我们来看一下对IIdentity接口的实现。该接口要求三个属性——AuthenticationType、IsAuthenticated和Name。AuthenticationType表示该用户标识所使用的验证类型,这里返回的是“Forms”;IsAuthenticated属性表示当前用户是否已经通过验证(即是否已登录。在这个例子里,我们只针对已登录用户进行实体替换,所以这个属性总是返回true。通常,实际的Web应用程序编写时还有一种习惯,就是为未登录用户(称之为匿名用户)也提供一个用户实体对象,此时就需要为IsAuthenticated提供逻辑,判断用户是否已通过验证了。最后IIdentity接口还要求对象提供一个Name属性,在这里,由于已经存在了Name字段,因此才用“显示接口实现”来提供Name属性,返回对象自身的Name字段即可。

  接下来我们看一下IPrincipal接口的实现。该接口要求提供一个Identity属性和一个IsInRole方法。由于UserObject类本身已经实现了IIdentity接口,因此在Identity属性中直接reutren this即可。因为我们这个示例不涉及用户分组(角色)方面的技术,因此IsInRole方法总是返回false。

用户实体替换

  用户实体替换即使用我们自己编写的类型的实例来替换HttpContext.User属性。实体替换应该发生在HttpApplication的PostAuthenticateRequest事件发生时,因为此时ASP.NET已经从客户端得到了用户凭证Cookie并进行了解密和校验。

  我们既可以编写一个HttpModule来处理PostAuthenticateRequest事件,也可以在Global..asax文件中添加时间处理器。这里为了简单,我们选择在Global.asax中添加如下事件处理器:
void Application_PostAuthenticateRequest(object sender, EventArgs e)
{
     HttpApplication app = (HttpApplication)sender;
     if(app.Context.User.Identity.Name != "")  // 仅在已登录时替换
     {
         UserObject user = DataAccess.GetUserByName(app.Context.User.Identity.Name);
         app.Context.User = user;
         Thread.CurrentPrincipal = user;
     }
}

   在这里我们首先进行了判断,如果用户已登录,才进行实体替换。当然你也可以选择未未登录用户也提供一个匿名用户实体。

  接下来,我们通过本来已经存放在HttpContext.User.Identity中的用户标识得到了数据实体对象,然后分别将其赋予HttpContext.User和Thread.CurrentPrincipal。

  至此,我们的示例代码就完工了。没有提到的是,完成了这一步之后,你就可以通过类似下面的代码在任何可以访问到HttpContext的地方获取用户实体了:
UserObject user = HttpContext.Current.User as UserObject;
if(user != null)
{
       // 可以使用user
}
else
{
       // 用户未登录
}
     
   需要注意,由于在这里我们仅对已登录用户进行了用户实体替换,所以代码使用as关键字进行类型转换并结合if语句进行判断是必需的。

小结

  好吧,这一部分说的是用户实体替换。

回到首页


--------------------------------------------------------------------------------

  评论这张
 
阅读(875)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017