在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
作者:孟宪会
很多用户在开发 ASP.NET 应用程序时都有这样的需求:管理员角色的账户使用管理员的登录界面进行登录,普通用户角色的账户使用普通用户的登录界面进行登录。由于ASP.NET的web.config里只能使用一个 authentication mode="Forms" 节点,所以,要实现不同用户采用不同的登录界面,一个办法就是创建一个管理员专用的虚拟目录,并设置为应用程序来实现。下面介绍另外一种采用重定向的办法来解决这个问题。
本文介绍的方法原理是根据登录界面的返回地址进行判断,然后重定向到不同的页面。下面就是实现的详细过程。 C# 代码
protectedvoid Page_Load(object sender, EventArgs e)
{ String ReturnUrl = Request.QueryString["ReturnUrl"]; if (ReturnUrl ==null|| ReturnUrl.Equals(String.Empty)) { //默认情况下,按普通用户进行登录 Response.Redirect("~/UserLogin.aspx"); } else { if (ReturnUrl.ToLower().Contains("/admin/")) { Response.Redirect("~/AdminLogin.aspx?ReturnUrl="+ Server.UrlEncode(ReturnUrl)); } else { Response.Redirect("~/UserLogin.aspx?ReturnUrl="+ Server.UrlEncode(ReturnUrl)); } } } 在这个文件的代码中,如果ReturnUrl中含有"/admin/",就重定向到AdminLogin.aspx登录界面;否则,就重定向到 UserLogin.aspx 登录界面。 ASPX 代码
<%@ Page Language="C#"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <script runat="server"> protected void Button1_Click(object sender, EventArgs e) { //密码验证过程在此省略,假如用户名是mxh,密码是mengxianhui String UserName ="mxh"; FormsAuthenticationTicket ticket =new FormsAuthenticationTicket(2,//票证的版本号 UserName,//与身分验证票关联的用户名 DateTime.Now, //票证发出时的本地日期和时间 DateTime.Now.AddHours(1),//票证过期的本地日期和时间 true,// 如果票证存储在持久性cookie中(跨浏览器会话保存)则为 true 否则为false 如果票证储存在URL中,将忽略此值 "reader",//储存在票证中持定的用户信息,本页面供 reader 登录使用 FormsAuthentication.FormsCookiePath //票证储存在cookie中的路径 ); //如果 forms 元素的 protection 属性设置为 All 或 Encryption,则窗体身份验证使用 Encrypt 方法对窗体身份验证票进行加密和签名。 string encTicket = FormsAuthentication.Encrypt(ticket); HttpCookie cookie =new HttpCookie(FormsAuthentication.FormsCookieName, encTicket); Response.Cookies.Add(cookie); Response.Redirect(FormsAuthentication.GetRedirectUrl(UserName, true)); } </script> <html xmlns="http://www.w3.org/1999/xhtml"> <head runat="server"> <title>孟宪会之多用户登录测试页面</title> </head> <body> <form id="form1" runat="server"> 普通用户登录界面省略<br /> <asp:Button ID="Button1" runat="server" OnClick="Button1_Click" Text="普通用户登录"/> </form> </body> </html> 这个文件将验证信息保存后,返回最初的请求页面。注意:这里连接数据库验证用户名和密码的过程省略过去了。 ASPX 代码
<%@ Page Language="C#"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <script runat="server"> protected void Button1_Click(object sender, EventArgs e) { //密码验证过程在此省略,假如用户名是Admin,密码是mengxianhui FormsAuthenticationTicket ticket =new FormsAuthenticationTicket(2,//票证的版本号 "Admin",//与身分验证票关联的用户名 DateTime.Now, //票证发出时的本地日期和时间 DateTime.Now.AddHours(1),//票证过期的本地日期和时间 true,// 如果票证存储在持久性cookie中(跨浏览器会话保存)则为 true 否则为false 如果票证储存在URL中,将忽略此值 "admin|manager|editor",//储存在票证中持定的用户信息,本页面供 admin,manager,editor登录使用 FormsAuthentication.FormsCookiePath //票证储存在cookie中的路径 ); //如果 forms 元素的 protection 属性设置为 All 或 Encryption,则窗体身份验证使用 Encrypt 方法对窗体身份验证票进行加密和签名。 string encTicket = FormsAuthentication.Encrypt(ticket); HttpCookie cookie =new HttpCookie(FormsAuthentication.FormsCookieName, encTicket); Response.Cookies.Add(cookie); Response.Redirect(FormsAuthentication.GetRedirectUrl("Admin", true)); } </script> <html xmlns="http://www.w3.org/1999/xhtml"> <head runat="server"> <title>孟宪会之多用户登录测试页面</title> </head> <body> <form id="form1" runat="server"> 管理员登录界面,省略 <asp:Button ID="Button1" runat="server" Text=" 登 录 " OnClick="Button1_Click"/> </form> </body> </html> 注意:这里连接数据库验证用户名和密码的过程省略过去了。
3,在Global的AuthenticateRequest 事件(一定要注意:不是 AuthorizeRequest 事件)里将角色信息附加到当前用户的上下文中。 C# 代码
<%@ Application Language="C#"%>
<script RunAt="server"> protectedvoid Application_AuthenticateRequest(object sender, EventArgs e) { string cookieName = FormsAuthentication.FormsCookieName; HttpCookie authCookie = Context.Request.Cookies[cookieName]; if (null== authCookie) { return; } FormsAuthenticationTicket authTicket =null; try { authTicket = FormsAuthentication.Decrypt(authCookie.Value); } catch (Exception ex) { return; } if (null== authTicket) { return; } FormsIdentity id =new FormsIdentity(authTicket); String[] roles = id.Ticket.UserData.Split('|'); //读出在登录时设置的角色列表。 System.Security.Principal.GenericPrincipal principal =new System.Security.Principal.GenericPrincipal(id, roles); Context.User = principal;//将验证信息附加到当前用户上下文。 } </script>
XML/XHTML 代码
<configuration>
<location path="AdminLogin.aspx"> <system.web> <authorization> <allow users="?"/> </authorization> </system.web> </location> <location path="UserLogin.aspx"> <system.web> <authorization> <allow users="?"/> </authorization> </system.web> </location> <system.web> <authentication mode="Forms"> <forms loginUrl="Login.aspx" path="/" protection="Encryption"></forms> </authentication> <authorization> <deny users="?"/> <allow users="*"/> </authorization> </system.web> </configuration>
C# 代码
Response.Write("<li>当前登录用户 = "+ Page.User.Identity.Name);
Response.Write("<li>admin = "+ Page.User.IsInRole("admin")); Response.Write("<li>reader = "+ Page.User.IsInRole("reader")); 为了简单起见,可以写一个Admin使用的基类页面,统一在基类页面中进行权限的处理。 网站web.config <?xml version="1.0" encoding="utf-8"?> <authentication mode="Forms"> </system.web> 分目录: <?xml version="1.0" encoding="utf-8"?> |
请发表评论