1、中文翻译 - 1 - 中文 4960 字 网络编程的技术解析 1.A 的身份验证 A 的身份验证有有三种,分别是 Windows | Forms | Passport,其中又以 Forms 验证用的最多,也最灵活。 Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的 Cookie,之后此用户再访问这个 web 应用就会连同这个身份 Cookie 一起发送到服务端。服务端上的授权设置就可以根据不同目录对不同用户的访问授权进行控制了。 下面大概的看一下 Forms 的过程。 Forms 身份验证基本原理: 要采用 Forms
2、身份验证,先要在应用程序根目录中的 Web.config 中做相应的设置 : 其中 表示本应用程序采用 Forms 验证方式。 1. 标签中的 name 表示指定要用于身份验证的 HTTP Cookie。默认情况下, name 的值是 .ASPXAUTH。采用此种方式验证用户后 ,以此用户的信息建立一个 FormsAuthenticationTicket 类型的身份验证票 ,再加密序列化为一个字符串 ,最后将这个字符串写到客户端的 name 指定名字的 Cookie 中 .一旦这个Cookie 写到客户端后 ,此用户再次访问这个 web 应用时会将连同 Cookie 一起发送到服务端 ,服务端
3、将会知道此用户是已经验证过的 . 中文翻译 - 2 - 再 看 一 下 身 份 验 证 票 都 包 含 哪 些 信 息 呢 , 我 们 看 一 下FormsAuthenticationTicket 类 : CookiePath: 返回发出 Cookie 的路径。注意,窗体的路径设置为 /。由于窗体区分大小写,这是为了防止站点中的 URL 的大小写不一致而采取的一种保护措施。这在刷新 Cookie 时使用 Expiration: 获取Cookie 过期的日期 /时间。 IsPersistent: 如果已发出持久的 Cookie,则返回 true。否则,身份验证 Cookie将限制在浏览器生命周期
4、范围内。 IssueDate: 获取最初发出 Cookie 的日期 /时间。 Name: 获取与身份验证 Cookie 关联的用户名。 UserData :获取存储在 Cookie 中的应用程序定义字符串。 Version: 返回字节版本号供将来使用。 2.标签中的 loginUrl 指定如果没有找到任何有效的身份验证Cookie,为登录将请求重定向 到的 URL。默认值为 default.aspx。 loginUrl 指定的页面就是用来验证用户身份的 ,一般此页面提供用户输入用户名和密码 ,用户提交后由程序来根据自己的需要来验证用户的合法性 (大多情况是将用户输入信息同数据库中的用 户表进行
5、比较 ),如果验证用户有效 ,则生成同此用户对应的身份验证票 ,写到客户端的 Cookie,最后将浏览器重定向到用户初试请求的页面 .一般是用 FormsAuthentication.RedirectFromLoginPage 方法来完成生成身份验证票 ,写回客户端 ,浏览器重定向等一系列的动作。 public static void RedirectFromLoginPage( string userName, bool createPersistentCookie, string strCookiePath ); 其中 userName: 就是此用户的标示 ,用来标志此用户的唯一标示 ,不
6、一定要映射到用户账户名称 . createPersistentCookie: 标示是否发出持久的 Cookie。若不是持久 Cookie, Cookie 的有效期 Expiration 属性有当前时间加上 web.config中 timeout 的时间,每次请求页面时,在验证身份过程中,会判断是否过了有效期的一半,要是的话更新一次 cookie 的有效期;若是持久 cookie, Expiration 属中文翻译 - 3 - 性 无 意 义 , 这 时 身 份 验 证 票 的 有 效 期 有 cookie 的 Expires 决定,RedirectFromLoginPage 方法给 Expir
7、es 属性设定的是 50 年有效期。 strCookiePath: 标示将生成的 Cookie 的写到客户端的路径,身份验证票中保存这个路径是在刷新身份验证票 Cookie 时使用(这也是生成 Cookie 的 Path),若没有 strCookiePath 参数,则使用 web.config 中 path 属性的设置。 这里可以看到 ,此方法参数只有三个 ,而身份验证票的属性有七个 ,不足的四个参数是这么来的 : IssueDate: Cookie 发出时间由当前时间得出。 Expiration:过期时间由当前时间和下面要说的 标签中 timeout 参数算出。此参数对非持久性 cookie
8、 有意义。 UserData: 这个属性可以用应用程序写入一些用户定义的数据 ,此方法没有用到这个属性 ,只是简单的将此属性置为空字符串 ,请注意此属性 ,在后面我们将要使用到这个属性。 Version: 版本号由系统自动提供 . RedirectFromLoginPage 方 法 生 成 生 成 身 份 验 证 票 后 , 会 调 用FormsAuthentication.Encrypt 方法,将身份验证票加密为字符串,这个 字符串将会是以 .ASPXAUTH 为名字的一个 Cookie 的值。这个 Cookie 的其它属性的生成:Domain, Path 属性为确省值, Expires 视 createPersistentCookie 参数而定,若是持久 cookie, Expires 设为 50 年以后过期;若是非持久 cookie, Expires 属性不设置。 生成身份验证 Cookie 后,将此 Cookie 加入到 Response.Cookies 中,等待发送 到 客 户 端 。 最 后 RedirectFromLoginPage 方法调用FormsAuthentication.GetRedirectUrl 方法获取到用户原先请求的页面,重定向到这个页面。 3. 标签中的 timeout 和 path,是提供了身份验证票写入到 Cookie 过期时间和默认路径。
