ASP.NET登录系列控件与安全…

原文地址：ASP.NET登录系列控件与安全性作者：appleseeker123

登录系列控件：

1． 
Login控件：一个基本的在界面上输入用户名和密码的组合控件，在这个控件中可以设置属性来增加用户注册，找回密码以及帮助功能

2． 
LoginView控件：这个控件用于显示用户登录与不登录时的2种不同的显示内容。（会自动判断用户是否登录）

3． 
PasswordRecovery控件：用户找回密码。

4． 
LoginStatus控件：当用户登录后，自动为注销状态，没有登录则为登录状态。

5． 
CreateUserWizard控件：用户注册的组合控件，提供基本的用户注册，如果不满意可以自己添加更多注册步骤

登录系列控件方便开发者使用，只需要修改相应的属性设置就能满足基本功能，在代码层不需要添加任何代码，当在页面中拖入一个登录系列控件后，.NET会自动在项目的数据库文件夹中增加1个数据库，用于登录控件的数据访问。

 

安全性方面：

Web.config中通过设置<authentication
mode="">的值来控制用户访问，有4种模式

1．  Windows模式：通常在内部局域网使用，以供域用户登录。

2． 
Forms模式：提供用户注册，注册后，才能登陆使用。

3． 
Passport模式：通过微软提供的Passport SDK来判断是否是合法用户。

4． 
NONE模式：不需要任何身份验证。

 

在ASP.NET2.0中，提供了User类，当用户登录后，使用FormsAuthentication类的RedirectFromLoginPage方法可以将用户的信息保存到cookie里。

RedirectFromLoginPage保存cookie有3种加密选项。

1．  不需要加密

2． 
MD5方式加密

3． 
SHA1方式加密

 

当登录成功后，就可以使用User对象的一些属性来取得目前登录的用户的信息了。

用户注销可以使用FormsAuthentication的SignOut方法。

 

Membership类：用于用户身份验证，通过Membership可以很方便的对用户进行管理

Roles类：用于对用户角色进行管理

角色管理可以很方便的使得整个网站的安全性得到好的保护。

       
<location path="
">管理的目录
               
<system.web>
                       
<authorization>
                               
<deny
users="?"/>拒绝匿名用户访问
                               
<allow
users="*"/>允许任何注册用户访问
                               
<allow
roles="Administrators"/>只允许Administrators组的用户访问。
                       
</authorization>
               
</system.web>
       
</location>