在ASP.NET安全术语中,有两个很重要的词语:鉴定和认证。鉴定机制有助于ASP.NET区别各个用户。一旦被执行,鉴定机制就会运行并判断你是否可以允许访问你想要访问的网页。
在三种ASP.NET鉴定类型中,有两种依赖于网页程序之外的技术:
你可以定义第三种类型鉴定机制,即窗体鉴定。窗体鉴定与ASP.NET程序紧密联系在一起。这一篇文章我们主要讲述有关窗体鉴定方面的内容。
窗体鉴定的一个重要的优点在于它的简单性。由于简单性,窗体鉴定只需要你遵循以下几步:
1. 编辑Web.config <authentication> 和 <authorization>中的内容;
2. 生成一个可供用户访问的标准SAPX网页;
3. 建立一个带有用户名和密码输入框,以及一个提交窗体铵钮的注册网页;
4. 单击窗体中的提交按钮,然后调用鉴定允许和RedirectFromLoginPage方法。
Web.config中的<authentication>要素可以允许你在ASP.NET中使用窗体鉴定。其中的一个子要素<forms>允许你指定要注册的网页。在<forms>要素中,你可以有选择地添加一个<credentials>要素,这个要素直接分配用户名和密码,如表A所示。值得一提的是,我现在有必要解释一下窗体鉴定的简单建立用法,这就意味着我要把很多用户名和密码保存在Web.config中,这对于网络来说并不是一件很好的事情。
对于程序中的用户鉴定,你必须采取一定的措施以禁止非法用户的访问。这也就是<authorization>要素指定的功能。你只需在<deny>要素中的用户属性设置为“?,”即可,如表A所示。
现在,如果有人想访问被Web.config管理的ASPX网页,ASP.NET就会执行用户鉴定,并决定是否通过鉴定认可。
为了能检测你的鉴定环境是否真正起作用,你应该建立至少一个ASPX网页。表B中的范例建立的网页简单地说明了通过鉴定了的用户名,这就是证明鉴定已经正常的工作。如果要检测,你可以在你的浏览器中直接地访问这个网页。如果你的鉴定系统能够工作,你就能够进入以下要讲述的注册页。
