[冷枫]在ASP.NET中如何用C

４.在cmdLogin_ServerLick事件里使用下面两种方法中的一种来产生表单验证的cookie并将页面转到指定的页面。
下面提供了两种方法的示例代码，根据你的需要来选择。
 a)在cmdLogin_ServerClick事件里调用RedirectFromLoginPage方法来自动产生表单验证cookie且将页面定向到一个指定的页面。
 private void cmdLogin_ServerClick(object sender,System.EventArgs e)
 {
  if(ValidateUser(txtUserName.value,txtUserPass.Value))

   FormsAuthentication.RedirectFromLoginPage(txtUserName.Value,chkPresistCookie.Checked);
   else
    Response.Redirect("logon.aspx",true);   

 }

 b)产生加密验证票据，创建回应的cookie，并且重定向用户。这种方式给了更多的控制权去让你如何去创建cookie，你也可以连同FormsAuthenticationTicket一起包含一些自定义的数据。
 private void cmdLogin_ServerClick(object sender,System.EventArgs e)
 {
  if(ValidateUser(txtUserName.value,txtUserPass.Value)) 
  {
   FormsAuthenticationTicket tkt;
   string cookiestr;
   HttpCookie ck;
   tkt=new FormsAuthenticationTicket(1,txtUserName.value,DateTime.Now,DateTime.Now.AddMinutes(30),chkPersistCookie.Checked,"your custom data"); //创建一个验证票据
   cookiestr=FormsAuthentication.Encrypt(tkt);//并且加密票据
   ck=new HttpCookie(FormsAuthentication.FormsCookieName,cookiestr);// 创建cookie
   if(chkpersistCookie.Checked) //如果用户选择了保存密码
    ck.Expires=tkt.Expiratioin;//设置cookie有效期
    ck.Path=FormsAuthentication.FormsCookiePath;//cookie存放路径
   Response.Cookies.Add(ck);
   string strRedirect;
   strRedirect=Request["ReturnUrl"];
   if(strRedirect==null)
    strRedirect="default.aspx";
   Response.Redirect(strRedirect,true);
  }
  else
   Reponse.Redirect("logon.aspx",true);
 }
  ５.请确保在InititalizeComponent方法里有如下代码：
   this.cmdLogin.ServerClick += new System.EventHandler(this.cmdLogin_ServerClick);
  
(七)创建一个Default.aspx页面
 这一节创建一个测试页面用来作为当用户验证完之后重定向到的页面。如果用户第一次没有被记录下来就浏览到这个页，这时用户将被重定向到登录页面。
  １.把现有的WebForm1.aspx重命名为Default.aspx，然后在编辑器里打开。

  ２.切换到HTML视图，复制以下代码到<form>标签之间：
 <input type="submit" Value="SignOut" runat="server" id="cmdSignOut">
这个按钮用来注销表单验证会话。
  ３.切换到设计视图，保存页面。
  ４.在后置代码里导入必要的名空间：
 using System.Web.Security;
  ５.双击SingOut按钮打开后置代码（Default.aspx.cs），然后把下面代码复制到cmdSingOut_ServerClick事件处理中：
  private void cmdSignOut_ServerClick(object sender,System.EventArgs e)
  {
   FormsAuthentication.SignOut();//注销 
   Response.Redirect("logon.aspx",true);
  }
  ６.请确认在InititalizeComponent方法中有以下代码：
  this.cmdSignOut.ServerClick += new System.EventHandler(this.cmdSignOut_ServerClick);
  ７.保存编译项目，现在可以运行这个应用程序了。
（八）附加提示
  １.如果想要在数据库里安全地存放密码，可以在存放到数据到之前先用FormsAuthentication类里的HashPasswordForStoringInConfigFile函数来加密。（注：将会产生一个哈希密码）
  ２.可以在配置文件（Web.config）里存放SQL连接信息，以便当需要时方便修改。
  ３.可以增加一些代码来防止黑客使用穷举法来进行登录。例如，增加一些逻辑使用户只能有两三次的登录机会。如果用户在指定的登录次数里无法登录的话，可以在数据库里设置一个标志符来防止用户登录直到此用户访问另一个页面或者请示你的帮助。另外，也可以在需要时增加一些适当的错误处理。
  ４.因为用户是基于验证cookie来识别的，所以可以在应用程序里使用安全套接层（SSL）来保护验证cookie和其它有用的信息。
  ５.基于表单的验证方式要求客户端的游览器接受或者启用cookies.
  ６.在<authentication>配置节里的timeout参数用来控制验证cookies重新产生的间隔时间。可以给它赋一个适当的值来提供更好的性能和安全性。
  ７.在Internet上的一些代理服务器或者缓冲可能会缓存一些将会重新返回给另外一个用户的包含Set-Cookie头的Web服务器响应。因为基于表单的验证是使用cookie来验证用户的，所以通过中间代理服务器或者缓冲的话可能会引起用户会被意外地搞错为原本不是要发送给他的用户。
   
   
  这篇文章适用于：
Microsoft ASP.NET (included with the .NET Framework 1.1)
Microsoft Visual C# .NET (2003)
Microsoft ASP.NET (included with the .NET Framework) 1.0
Microsoft Visual C# .NET (2002)
Microsoft SQL Server 2000 (all editions)
Microsoft SQL Server 7.0
Microsoft SQL Server 2000 64 bit (all editions)

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=356356