用户和角色管理.ppt

《用户和角色管理.ppt》由会员分享，可在线阅读，更多相关《用户和角色管理.ppt（77页珍藏版）》请在三一办公上搜索。

1、第9章 用户和角色管理,本章要点：,了解Windows验证；掌握Forms验证掌握网站管理工具的应用掌握登录系列控件的应用掌握常用的Membership和Roles类的方法,目录,9.1 身份验证和授权9.1.1 Windows验证9.1.2 Forms验证9.2 成员资格和角色管理概述9.2.1 成员资格管理9.2.2 角色管理9.3 利用网站管理工具实现成员资格和角色管理,目录,9.4 利用登录系列控件建立安全页9.4.1 Login控件9.4.2 CreateUserWizard控件9.4.3 LoginName控件9.4.4 LoginStatus控件9.4.5 LoginView控件

2、9.4.6 ChangePassword控件9.4.7 PasswordRecovery控件9.5 调用Membership类和Roles类进行用户角色管理9.6 小结,9.1 身份验证和授权,身份验证：要告知服务器发出请求的用户是谁。授权：需确定用户能访问哪些资源。身份验证方式：Windows验证、Passport验证、None验证和Forms验证。,9.1.1 Windows验证,基于Windows操作系统用户和用户组，适合于企业内部站点使用。要运用Windows验证，服务器端和客户端都必须是Windows操作系统，且Web服务器的硬盘格式必须是NTFS。,9.1.1 Windows验证（

3、续）,Windows验证方式依靠IIS来执行所需的用户验证，包括匿名身份验证、集成Windows身份验证、Windows域服务器的摘要身份验证和基本身份验证等。访问WindowsIdentity和WindowsPrincipal对象可获取验证用户的信息。需配合使用Windows的NTFS访问控制列表（ACL）。,配置网站Windows验证,右击某站点“属性”“目录安全性”单击“身份验证和访问控制”中“编辑”,配置网站Windows验证（续）,在Windows中新建一个用户组，例如“Website”。在“Website”组中创建若干用户。设置站点对应文件夹的授权。,配置网站Windows验证（续

4、）,配置站点的web.config文件，代码如下：,配置网站Windows验证（续）,在联网的另一台计算机访问站点中网页时，要求输入用户名和密码。通过身份验证后才能访问相应的网页。,9.1.2 Forms验证,适合于Internet站点，是多数Web应用程序使用的方式。Forms验证本身并不能进行验证，只是使用自定义的用户界面收集用户信息，再通过自定义代码实现验证。在使用时，需配合使用ASP.NET成员资格和角色管理。其中，成员资格用于管理用户，角色用于管理授权。,9.1.2 Forms验证（续）,用户利用Forms验证访问受保护资源步骤用户请求受保护的网页，如Default.aspx；ASP

5、.NET调用Forms验证服务获取用户请求，并检查其中是否包含用户凭据；如果未发现任何用户凭据，将自动转向用户登录页面，如Login.aspx；初次请求的网页地址Default.aspx将以ReturnUrl值（ReturnUrl是QueryString中的键值对）的形式，附加在登录网页Login.aspx的地址后。当用户通过验证后，ASP.NET将根据ReturnUrl值把页面重定向到Default.aspx。,9.1.2 Forms验证（续）,Forms验证的配置,配置节属性说明表,配置节属性说明表（续）,9.1.2 Forms验证（续）,FormsAuthentication类：该类提供

6、的属性与配置节中的属性有对应关系，可以通过访问类的属性获取配置节中的属性值。还有，该类提供的方法能够管理Forms验证，如RedirectFromLoginPage()将经过身份验证的用户重定向到最初请求的URL；RedirectToLoginPage()将未经过身份验证的用户重定向到登录页面等。,9.2 成员资格和角色管理概述,成员资格管理功能与登录控件和Forms验证结合使用，可以提供完善的用户管理功能。配合使用角色管理，可以较好地提供授权管理功能。,9.2.1 成员资格管理,能创建和管理用户信息。提供的类能方便地验证用户提交的用户名和密码。ASP.NET 3.5还实现了成员资格管理与个性

7、化用户配置、角色管理等功能的集成。,9.2.1 成员资格管理（续）,基于提供程序模型构建首先，开发人员使用登录系列控件构建获取用户信息的界面。其次，由登录系列控件调用成员资格管理类中实现验证的方法。最后，成员资格管理类中的对象将与成员管理提供程序交互，要求其对成员管理数据库进行操作。,9.2.1 成员资格管理（续）,成员管理数据库以ASPNETDB.mdf存储在App_Data文件夹下。与成员资格管理密切相关的数据表是aspnet_Users和aspnet_Membership。表aspnet_Users存储了用户的部分信息，而aspnet_Membership存储了用户的详细信息。成员资格管

8、理的配置由web.config中配置节实现。,的配置节属性说明表,的配置节属性说明表（续）,的配置节属性说明表（续）,连接字符串存放位置说明,在SqlDataSource控件的定义中,9.2.1 成员资格管理（续）,Membership类：主要实现用户验证，创建、管理以及获取或设置配置节中相关的属性值。MembershipUser类：主要获取或设置用户信息功能。,9.2.2 角色管理,角色是指具有相同权限的一类用户或用户组，与授权有密切关系。基于角色的授权方式将访问权限与角色关联，然后，角色再与用户关联。管理人员授权时，是为角色授权，其影响的是角色中的多个用户。在实际使用时，需要根据不同角色对

9、网页进行分类，并存放到不同的文件夹中。然后，再利用网站管理工具对不同文件夹设置不同的访问规则实现角色授权。,9.2.2 角色管理（续）,ASP.NET 3.5角色管理能方便地创建和管理角色信息，如创建新角色、为用户分配角色、删除用户角色、获取角色信息等。能支持使用Cookie缓存角色信息，以避免频繁访问数据源。,9.2.2 角色管理（续）,角色管理与成员资格管理一样基于提供程序模型构建。首先利用登录系列控件实现用户登录、角色管理等用户界面。然后，调用角色管理对象实现角色管理功能。最后将角色信息存储到数据库。,9.2.2 角色管理（续）,角色管理信息存储于ASPNETDB.mdf，其中与角色有密

10、切关系的数据表是aspnet_Roles和aspnet_UsersInRoles。aspnet_Roles存储角色信息，而aspnet_UsersInRoles存储用户和角色的联系信息。角色管理的配置通过web.config中的配置节实现,9.2.2 角色管理（续）,Roles类：访问其属性能获取或设置配置节中的属性值，调用其方法可创建新角色、删除角色等。,9.3 利用网站管理工具实现成员资格和角色管理,安全设置向导,安全设置向导（续）,安全设置向导（续）,安全设置向导（续）,安全设置向导（续）,访问规则说明,9.4 利用登录系列控件建立安全页,任何利用身份验证来实现用户登录，并由此访问受保护

11、资源的Web站点，都需要一系列注册登录界面来完成用户身份验证等任务。经常需要的功能包括用户登录、创建新用户、显示登录状态、显示登录用户名、更新或重置密码等。,9.4.1 Login控件,用于实现登录界面，允许自定义界面外观，与成员资格管理紧密集成。使用时，主要通过设置属性而不需要编写代码就能够实现登录验证功能。实质是一个“用户控件”，通常必须包括：用于输入用户名的文本框、用于输入密码的文本框和用于提交用户凭证的按钮。,9.4.1 Login控件（续）,有很强的自定义扩展能力，主要包括：自定义找回密码页面的提示文字和超链接、自定义创建新用户页面的提示文字和超链接、自定义“下次登录时记住”的Che

12、ckBox控件、自定义模板等等。,Login控件的主要属性表,Login控件的主要属性表（续）,实例9-1 建立登录页面,当输入用户名和密码后，单击“登录”按钮，若用户名和密码正确则链接到Default.aspx，否则给出错误提示信息；单击“注册新用户”链接到NewUser.aspx；单击“忘记密码了？”链接到GetPwd.aspx。源代码：Login.aspx,9.4.2 CreateUserWizard控件,实质是一个专用于创建新用户的Wizard控件，与成员资格管理紧密集成，能快速的在成员数据表中创建新用户。,9.4.2 CreateUserWizard控件（续）,CreateUserW

13、izard控件使用时要与web.config中的配置节属性信息结合。要求输入的密码为强密码（即密码至少7个字符、至少包括一个字母和至少包括一个非数字非字母的特殊符号），设置属性minRequiredPasswordLength、minRequiredNonalphanumericCharacters。要显示“安全提示问题”和“安全答案”，需要设置属性requiresQuestionAndAnswer。,9.4.2 CreateUserWizard控件（续）,属性MailDefinition：代表了MailDefinition类的一个对象。MailDefinition类提供了定义一封E-mail

14、需要的所有属性，如属性From指定邮件从哪里发出；属性Subject指定邮件的主题；属性BodyFileName指定要发送邮件的文本等。在使用BodyFileName时，首先需定义一个.txt文件，如ThankEmail.txt。该文件可包含一些特殊表达式如和用来代替注册的用户名和密码。,9.4.2 CreateUserWizard控件（续）,要发送电子邮件，还要配置。,9.4.2 CreateUserWizard控件（续）,CreateUserWizard控件的发送邮件功能还可与属性AutoGeneratePassword属性结合，用于验证用户注册的电子邮箱是否正确。,CreateUserW

15、izard控件的主要属性和事件表,CreateUserWizard控件的主要属性和事件表（续）,实例9-2 建立新用户,当新用户填入注册信息后，若符合设置的规则，则单击“创建新用户”按钮将把该用户加入到一般的成员角色“Member”中，并给用户发送感谢注册网站的邮件，再将网页重定向到Login.aspx；当新用户填入的信息不符合设置的规则时，给出相应的出错提示信息。感谢注册网站的邮件文本：ThankEmail.txt源程序：NewUser.aspx,9.4.3 LoginName控件,用于用户登录验证之后，显示登录的用户名。实际上LoginName显示的是的属性值。不仅可以显示通过Forms验

16、证的用户名，还可以显示其它登录验证之后的用户名。,9.4.3 LoginName控件（续）,LoginName控件的属性FormatString用于格式化输出的用户名。如若设置FormatString=“Welcome,0”，则对已登录用户名admin，将在页面上显示“Welcome,admin”。,9.4.4 LoginStatus控件,实现用户登录状态之间的切换。如果HttpRequest.IsAuthenticated属性返回值为true，则表示用户通过验证，处于已登录状态，默认显示“注销”；否则表示处于未登录状态，默认显示“登录”。,9.4.4 LoginStatus控件（续）,当未登

17、录用户单击“登录”时将链接到网站根文件夹下的Login.aspx，因此，需要将该文件存放到根文件夹下。当登录用户单击“注销”时将由LoginStatus控件的属性LogoutAction确定操作方式，值Refresh表示刷新页面；值 Redirect表示重定向到LogoutPageUrl属性定义的页面；值RedirectToLoginPage表示重定向到web.config中配置节的属性loginUrl定义的登录页面。,9.4.4 LoginStatus控件（续）,事件LoggingOut：在单击注销按钮时被触发，常用于当用户必须完成某一项活动后才能离开网站的情形。若未完成该项活动，则可以通过

18、设置LoginCancelEventArgs参数的属性Cancel值设置为true，达到取消注销过程的目的。事件LoggedOut：在注销完成后被触发，常用于释放数据库连接等。,9.4.5 LoginView控件,根据匿名用户、登录用户或不同角色的用户显示不同的页面内容。,9.4.5 LoginView控件（续）,AnonymousTemplate：用于设置匿名用户显示的视图内容；LoggedInTemplate：用于设置已登录站点，但不属于属性RoleGroups指定的包含于任何角色的用户显示的视图内容；RoleGroups：用于设置具有特定角色的用户显示的视图内容。当一个用户属于多个角色时

19、，应用程序的执行将对RoleGroups中的集合进行搜索，然后显示第一个匹配的模板内容。,实例9-3 利用LoginView显示不同界面,源程序：Default.aspx 程序说明：当用户未登录时直接浏览Default.aspx可看到匿名用户界面。单击“登录”链接到网站根文件夹下的Login.aspx，以不同角色用户登录后浏览器再跳转到Default.aspx，此时可看到对应角色的不同界面效果。,9.4.6 ChangePassword控件,用于修改用户的登录密码。件集成了成员资格管理功能，支持两种情况的修改密码。一种是用户登录后，提交旧密码和新密码来完成密码修改工作；另一种是用户不登录站点，

20、此时需提交用户名、旧密码和新密码完成密码修改工作。支持向用户发送包含密码已修改提示信息的电子邮件。,9.4.6 ChangePassword控件（续）,要允许未登录用户修改密码，需设置属性DisplayUserName值为true。内置了两个视图：更改密码视图和成功视图。,实例9-4 修改用户密码,源程序：ChangePwd.aspx,9.4.7 PasswordRecovery控件,适用于用户丢失密码后，需要找回或重置密码的情况。与成员资格管理功能集成，有两种工作方式。一种是找回原有密码，这种模式需要将配置节的属性passwordFormat值设置为Clear或Encrypted；另一种是得

21、到重置密码，这种模式需设置passwordFormat值为Hashed。因经过Hash计算的密码不可恢复，所以第二种方式只能由系统随机产生一个新密码。最后，控件将找回或重置的密码通过电子邮件通知用户。,9.4.7 PasswordRecovery控件（续）,使用PasswordRecovery控件时，除与属性passwordFormat有关外，还与配置节中其它的属性有关。例如，如果已设置requiresQuestionAndAnswer值为true，则用户在找回密码的过程中将被要求回答安全问题。PasswordRecovery控件内置了三个视图：用户名视图、提示问题视图和成功视图。,实例9-5

22、 重置用户密码,输入用户名，再输入安全问题答案。若输入的用户名和安全问题答案均正确，将给用户发送包含重置密码的电子邮件。源程序：GetPwd.aspx,9.5 调用Membership类和Roles类进行用户角色管理,登录系列控件能快速地创建用户管理的安全页，但对删除用户、角色管理等无能为力。这些功能需要直接调用Membership类和Roles类的相关方法实现。,Membership类提供的典型方法,CreateUser()：添加一个新用户。DeleteUser()：删除一个指定用户。FindUsersByEmail()：根据输入的电子邮件参数获取相关的用户信息集合。GeneratePass

23、word()：创建一个特定长度的随机密码。GetAllUsers()：获取所有用户的信息集合。ValidateUser()：实现对用户的验证。,Roles类提供的典型方法,AddUsersToRole()：将多个用户分配到一个角色中。RemoveUserFromRole()：从一个角色中删除一个用户。CreateRole()：创建一个新角色。DeleteRole()：删除一个指定的角色。,Roles类提供的典型方法（续）,GetAllRoles()：获取所有角色名数组。GetUsersInRole()：获取指定角色中包含的用户名数组。IsUserInRole()：判断指定用户是否归属于指定的角

24、色。RoleExists()：判断是否已存在指定的角色名。,显示用户列表和删除用户,用户列表显示和删除用户功能常包含于网站的后台管理中，仅提供给特定的角色用户，在网站开发过程中要注意授权的分配。,实例9-6 显示用户列表和删除用户,能显示网站所有的注册用户，能删除相应的用户。源程序：MemberDelete.aspx 程序说明：页面首次载入时调用自定义方法GetAllUsers()得到所有用户列表并绑定到GridViewl。当单击删除按钮时，在删除GridView1中所在行之前触发RowDeleting事件，删除数据库中的用户。,用户归属角色的操作,若使用基于角色的安全技术，应在网站开发时就要

25、考虑实际情况中可能出现的角色，然后利用网站管理工具，预先建立这些角色，并对这些角色设置合适的访问规则。网站运行后再注册的用户，可以通过调用Roles.AddUserToRole()将该用户添加到一般的角色中。若要对某些注册的用户添加到特定的角色，或从角色中删除一些用户，可考虑将这些功能放到网站的后台管理中。,实例9-7 添加用户到角色和从角色中删除用户,能显示角色中包含的用户；能删除角色中的用户；能将选中的用户添加到选中的角色中。源程序：RolesUsers.aspx,程序说明,页面首次载入时将系统中定义的角色名和用户名分别绑定到两个ListBox上。当选中某角色时，引起页面往返，执行Page

26、_Load事件中代码，将选中角色包含的用户绑定到GridView上。当单击“从角色中删除”时，在删除选择行时之前触发RowDeleting事件，从选中角色中删除选择行所在的用户，再刷新GridView。当选择完用户，再单击“添加到角色”后将把这些用户添加到选中的角色中，最后刷新GridView。,9.6 小结,Windows验证适用于构建基于Intranet的网站，而Forms验证适用于构建基于Internet的网站。使用Forms验证常要和web.config、用户和角色管理配合。用户管理在ASP.NET 3.5中通过成员资格管理实现，而用户授权由角色管理实现。,9.6 小结（续）,要使用角色管理，需要将网站的网页根据角色不同进行分类，归属于不同的文件夹。实际上，授权的实现建立在对文件夹设置访问规则的基础上。实现成员资格管理和角色管理的途径有：一是利用网站管理工具；二是利用登录系列控件；三是直接调用Membership和Roles等类的方法。但实际工程使用常需要三种途径的配合。,