ASP.NET 2.0中保证应用程序的安全(2)

示例

　　下面的例子演示了在应用程序中如何使用成员 API。

　　创建新用户

　　下面的例子演示了如何建立新的MembershipUser。示例使用了Membership.CreateUser重载，它返回一个状态参数。其它的重载也可以使用，他们会抛出异常而不是返回状态代码。请注意，在默认情况下，成员特性要求密码至少有7个字符长度，并且密码至少包含一个非数字字符。

＜script runat="server"＞ Sub btnCreate_Click(ByVal sender As Object, ByVal e As System.EventArgs) Dim userName As String = txtUserId.Text '这个值式加密的或散列过，不会显示 Dim password As String = txtPassword.Text Dim email As String = txtEmail.Text Dim passwordQuestion As String = ddlPasswordQuestion.SelectedValue '这个值式加密的或散列过，不会显示 Dim passwordAnswer As String = txtPasswordAnswer.Text Dim result As MembershipCreateStatus Membership.CreateUser(userName, password, email, passwordQuestion, passwordAnswer, True, result) lblResults.Visible = True Select Case result Case MembershipCreateStatus.Success txtUserId.Text = Nothing txtPassword.Text = Nothing txtEmail.Text = Nothing ddlPasswordQuestion.SelectedIndex = -1 txtPasswordAnswer.Text = Nothing lblResults.Text = "User successfully created!" Case MembershipCreateStatus.InvalidUserName lblResults.Text = "The username format was invalid. Please enter a different username." Case MembershipCreateStatus.InvalidPassword lblResults.Text = "The password was invalid: A password cannot be an empty string and must also meet the pasword strength requirements of the configured provider. Please enter a new password." Case MembershipCreateStatus.InvalidEmail lblResults.Text = "The email format was invalid. Please enter a different username." Case MembershipCreateStatus.InvalidQuestion lblResults.Text = "The password question format was invalid. Please enter a different question." Case MembershipCreateStatus.InvalidAnswer lblResults.Text = "The password answer format was invalid. Please enter a different answer." Case MembershipCreateStatus.DuplicateUsername lblResults.Text = "The username is already in use. Please enter a new username." Case MembershipCreateStatus.DuplicateEmail lblResults.Text = "The email address is already in use. Please enter a different email address." Case Else lblResults.Text = "An error occurred while creating the user." End Select End Sub ＜/script＞

　　用户登录和访问用户属性

　　下面的例子演示了用户使用Membership.ValidateUser方法登录。它还演示了在登录用户的时候如何同时使用窗体认证和成员特性。在上面的例子中创建用户之后，请在登录页面上输入凭证。一旦你登录了，你会被重定向到一个页面，该页面利用Membership.GetUser来检索与登录用户相对应的MembershipUser实例。同时请注意，这个页面还显示了目录上设置的用户属性，这些内容只有通过认证的用户才能访问。点击页面底部的登出链接可以退出站点。

＜script runat="server"＞ Protected memUser As MembershipUser Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) memUser = Membership.GetUser() End Sub Sub linkLogout_Click(ByVal sender As Object, ByVal e As System.EventArgs) FormsAuthentication.SignOut() Roles.DeleteCookie() FormsAuthentication.RedirectToLoginPage() End Sub ＜/script＞ User Name/ID: ＜% = Server.HtmlEncode(memUser.Username) %＞ Email:＜% = Server.HtmlEncode(memUser.Email) %＞

　　更新用户属性

　　请用前面建立的用户凭证登录。页面会用ASP.NET 2.0中新的DetailsView控件显示用户属性。DetailsView控件与一个数据源控件通讯。在例子中，ObjectDataSource控件检索MembershipUser实例的内容。你可以点击页面底部的"编辑"链接使DetailsView进入编辑模式。MembershipUser的电子邮件和注释都可以修改。点击"更新"链接可以把新值保存到数据库。请注意，在代码中页面实现了ItemUpdating事件，该事件是由ObjectDataSource引发的。这样做是必要的，MembershipUser类没有参数化构造函数，它要求使用ObjectDataSource的双向数据绑定。点击登出链接可以退出。

Sub DetailsView1_ItemUpdating(ByVal sender As Object, ByVal e as DetailsViewUpdateEventArgs) '必须手动处理更新操作，因为MembershipUser 没有参数化的构造函数 Dim memUser as MembershipUser = Membership.GetUser() memUser.Email = CStr(e.NewValues(0)) memUser.Comment = CStr(e.NewValues(1)) Try Membership.UpdateUser(memUser) e.Cancel = true DetailsView1.ChangeMode(DetailsViewMode.ReadOnly) Catch ex as Exception Response.Write("＜div＞The following error occurred:＜font color='red'＞ " + ex.Message + "＜/font＞＜/div＞") e.Cancel = true End Try End Sub

 

帐号锁定

　　Membership特性自动地跟踪用户重试密码的次数。在检索密码或重置密码的时候，它也跟踪密码重试的次数。下面的例子演示了自动的帐号锁定能力，以及如何取消帐号锁定。首先使用前面的"建立新用户"示例创建一个新帐号。接着，点击下方的按钮运行"帐号登出"示例。登录页面显示了显示了为了锁定帐号需要重试的失败次数。在登录页面上，使用你建立的第一个帐号并输入错误的密码。请注意，在重试的失败次数到了之后，如果你使用了正确的密码，也不能登录了--这是因为在重试失败的次数到了一定的数量之后，Membership特性自动地锁定的帐号。为了解除该帐号的锁定，请使用你建立的第二个帐号登录。显示的页面与前面的显示用户属性的例子很相似。但是，这个页面允许你在页面底部输入任意的用户名称。请输入被锁定的帐号并回车。DetailsView控件会刷新并显示该用户的信息。请注意，标识锁定状态的检查框IsLockedOut是选中的。LastLockoutDate也被更新了，它显示了用户被锁定的日期。点击页面底部的"解锁"按钮来解除当前显示的用户的锁。它调用了MembershipUser实例的UnlockUser方法，解除了用户的锁。在解除用户的锁之后，IsLockedOut检查框被清除了，LastLockoutDate属性也被重置了。点击页面底部的登出链接。现在尝试用第一个帐号登录。现在可以再次成功登录了。

Sub btnUnlockUser_Click(ByVal sender As Object, ByVal e As System.EventArgs) Dim memUser as MembershipUser = Membership.GetUser(txtUserName.Text) If (Not memUser is Nothing And memUser.IsLockedOut = true) memUser.UnlockUser() End If '刷新被选中用户的信息 DetailsView1.DataBind() End Sub

　　删除用户

　　你可以使用Membership.DeleteUser方法删除用户。下面的例子演示了如何使用窗体认证删除当前登录的用户并让该用户登出。

＜script runat="server"＞ Sub btnDeleteCurrentUser_Click(ByVal sender As Object, ByVal e As System.EventArgs) If (Membership.DeleteUser(User.Identity.Name)) Then FormsAuthentication.SignOut() Roles.DeleteCookie() Response.Redirect("~/CreatingUsers.aspx") Else lblResult.Visible = True lblResult.Text = "The Membership user was not deleted." End If End Sub ＜/script＞

管理角色

　　下面的例子演示了认证用户如何使用角色管理器特性。所有的示例页面都拒绝匿名用户访问。在默认情况下，ASP.NET中是没有激活角色管理器特性的。但是，下面的例子中使用的web.config显式地激活了角色管理器特性。

　　添加和删除角色

　　下面的例子演示了如何使用Roles.CreateRole和Roles.DeleteRole方法建立和删除角色。在你建立角色或删除已有角色之后，页面使用Roles.GetAllRoles方法显示系统中的所有可用角色。Roles.GetAllRoles的返回值可以轻易地绑定到任何支持数据绑定的控件。你至少需要建立一个叫做"Administrators"的角色。

　　在你建立和删除角色的时候，请注意角色管理器特性不允许你建立重复的角色。同时还要注意，在默认情况下，角色管理器不允许你删除填充过的角色。

Sub btnCreateRole_Click(ByVal sender As Object, ByVal e As System.EventArgs) Dim roleName As String = txtCreateRole.Text Try Roles.CreateRole(roleName) lblResults.Text = Nothing lblResults.Visible = False txtCreateRole.Text = Nothing Catch ex As Exception lblResults.Text = "Could not create the role: " + Server.HtmlEncode(ex.Message) lblResults.Visible = True End Try End Sub Sub btnDeleteRole_Click(ByVal sender As Object, ByVal e As System.EventArgs) If (lbxAvailableRoles.SelectedIndex ＜＞ -1) Then Try Roles.DeleteRole(lbxAvailableRoles.SelectedValue) lblResults.Text = Nothing lblResults.Visible = False Catch ex As Exception lblResults.Text = "Could not delete the role: " + Server.HtmlEncode(ex.Message) lblResults.Visible = True End Try End If End Sub

　　向角色中添加用户和从角色中删除用户

　　下面的例子使用了前面例子中建立的角色，它演示了如何向角色添加用户和从角色中删除用户。使用Roles.AddUserToRole方法向角色中添加用户，使用Roles.RemoveUserFromRole方法从角色中删除用户。在给角色添加用户之前，先检查该用户是否已经是该角色的成员。这种检查是必要的，因为如果你试图给角色多次添加同一个用户，角色管理器会抛出异常。在前面的例子中，角色信息和角色的成员都显示在数据绑定控件中。用户所属的角色列表通过Roles.GetRolesForUser方法获取。要运行下面的例子，就要确保把你自己加入"Administrators"角色。

Sub btnAddUserToRole_Click(ByVal sender As Object, ByVal e As System.EventArgs) If (lbxAvailableRoles.SelectedIndex ＜＞ -1) Then Dim selectedRole As String = lbxAvailableRoles.SelectedValue If Not Roles.IsUserInRole(selectedRole) Then Try Roles.AddUserToRole(User.Identity.Name, selectedRole) RefreshCurrentRolesListBox() Catch ex As Exception lblResults.Text = "Could not add the user to the role: " + Server.HtmlEncode(ex.Message) lblResults.Visible = True End Try Else lbxAvailableRoles.SelectedIndex = -1 End If End If End Sub Sub btnDeleteUserFromRole_Click(ByVal sender As Object, ByVal e As System.EventArgs) Dim selectedRole As String = lbxUserRoles.SelectedValue If (lbxUserRoles.SelectedIndex ＜＞ -1) Then Try Roles.RemoveUserFromRole(User.Identity.Name, selectedRole) RefreshCurrentRolesListBox() Catch ex As Exception lblResults.Text = "Could not remove the user from the role: " + Server.HtmlEncode(ex.Message) lblResults.Visible = True End Try End If End Sub

用角色管理器对页面进行授权访问

　　这个例子的web.config文件包含了＜authorization＞元素，它限制了示例只能让"Administrators"角色的成员访问。请确保你已经建立了"Administrators"角色并把自己添加到了这个角色中。一旦你称为"Administrators"角色的成员，就可以访问示例页面了。ASP.NET提供了一个角色管理器HttpModule，它自动地把RolePrincipal附加到当前请求的HttpContext上。如果你是"Administrators"角色的成员，当URL授权过程根据RolePrincipal执行IsInRole检查（URL授权过程调用RolePrincipal.IsInRole）的时候，该访问检查会返回true，你就可以访问页面了。请注意，你可以通过调用Page.User并把结果转换RolePrincipal来引用页面中的RolePrincipal。

＜location path="administrators_role"＞ ＜system.web＞ ＜authorization＞ ＜allow roles="Administrators" /＞ ＜deny users="*"/＞ ＜/authorization＞ ＜/system.web＞ ＜/location＞

　　编程检查授权

　　由于角色管理器特性把RolePrincipal附加到HttpContext上，你也可以编写代码根据RolePrincipal执行访问检查。你先建立两个角色"Regular Users"和"Power Users"，把自己添加到这两个角色中。当你运行示例的时候，页面使用多种技术执行IsInRole检查。有些访问检查使用了User.IsInRole。它说明了使用正常的Page.User语法的时候，RolePrincipal也是可用的。这个页面还演示了如何把Page.User转换为RolePrincipal引用，接着直接在RolePrincipal上调用IsInRole。

＜asp:Label ID="Label1" runat="server" Text=＜%# User.IsInRole("Administrators") %＞ /＞ ＜asp:Label ID="Label2" runat="server" Text=＜%# Roles.IsUserInRole("Regular Users") %＞ /＞ ＜asp:Label ID="Label3" runat="server" Text=＜%# (CType(User,RolePrincipal)).IsInRole("Power Users") %＞ /＞