使用Forms Authentication实现用户注册、登录 (二)用户注册与登录
2024-06-08 05:07:53
从这一部分开始,我们将通过一个实际的完整示例来看一下如何实现用户注册与登录。在介绍注册与登录之前,我们首先介绍一下如何判断用户是否已登录,并未后面的示例编写一些基础代码。
判断用户是否已经登录
首先,在Web站点项目中添加一个MasterPage,例如MasterPage.master。在这个母版页的ContentPlaceHolder控件之前、<From>标签之内插入如下代码:
1 <asp:Panel ID="pnlAnonymous" runat="server">
2 <asp:LinkButton ID="btnLogin" runat="server" Text="登录" OnClick="btnLogin_Click"></asp:LinkButton> |
3 <asp:HyperLink ID="lnkRegister" runat="server" NavigateUrl="~/register.aspx" Text="注册"></asp:HyperLink>
4 </asp:Panel>
5 <asp:Panel ID="pnlLoggedin" runat="server">
6 欢迎您,<asp:Label ID="lblUserName" runat="server"></asp:Label>!
7 [<asp:LinkButton ID="btnLogout" runat="server" Text="注销"
8 onclick="btnLogout_Click"></asp:LinkButton>]
9 </asp:Panel>
10 <asp:Panel ID="pnlNavigate" runat="server">
11 <asp:HyperLink ID="lnkDefault" runat="server" NavigateUrl="~/default.aspx" Text="首页"></asp:HyperLink> |
12 <asp:HyperLink ID="lnkTest" runat="server" NavigateUrl="~/test.aspx" Text="测试页"></asp:HyperLink>
13 </asp:Panel>
14
2 <asp:LinkButton ID="btnLogin" runat="server" Text="登录" OnClick="btnLogin_Click"></asp:LinkButton> |
3 <asp:HyperLink ID="lnkRegister" runat="server" NavigateUrl="~/register.aspx" Text="注册"></asp:HyperLink>
4 </asp:Panel>
5 <asp:Panel ID="pnlLoggedin" runat="server">
6 欢迎您,<asp:Label ID="lblUserName" runat="server"></asp:Label>!
7 [<asp:LinkButton ID="btnLogout" runat="server" Text="注销"
8 onclick="btnLogout_Click"></asp:LinkButton>]
9 </asp:Panel>
10 <asp:Panel ID="pnlNavigate" runat="server">
11 <asp:HyperLink ID="lnkDefault" runat="server" NavigateUrl="~/default.aspx" Text="首页"></asp:HyperLink> |
12 <asp:HyperLink ID="lnkTest" runat="server" NavigateUrl="~/test.aspx" Text="测试页"></asp:HyperLink>
13 </asp:Panel>
14
这里提供了三个Panel控件——pnlAnonymous、pnlLoggedin和pnlNavigate。pnlAnonymous用于在用户未登录时显示“登录”和“注册”链接;pnlLoggedin用于在用户已登录时显示用户信息(如用户名和到用户个人信息页的链接等,这里仅显示用户名),以及一个“注销”按钮;pnlNavigate在任何时候都显示,是站点的导航栏。
现在我们要实现的是,判断用户是否登录,并显示pnlAnonymous和pnlLoggedin二者之一。这里,如果是使用ASP.NET 2.0 Membership,则可以方便地使用LoginView、LoginName和LoginStatus等控件实现这些功能;然而我们不得不为此忍受Membership所带来的庞大而繁多的数据库对象,或者花更多时间去编写自定义的MembershipPorvider。
这一系列的第一部分曾介绍过,如果用户已经登录,则可以从HttpContext.User.Identity.Name得到已登录用户的标识(通常是用户名)。然而,如果用户未登录,这个值则为空字符串。因此,通过判断该值是否为空字符串,即可的值用户是否已登录。
由此,我们在MasterPage的后台代码中添加Page_Init方法,在页面初始化时判断用户是否登录,并显示对应的Panel控件;此外,在用户已登录时,在pnlLoggedin中的欢迎语里插入已登录用户的用户名。
1 protected void Page_Init(object sender, EventArgs e)
2 {
3 // 判断用户是否已登录。
4 if(HttpContext.Current.User.Identity.Name == "")
5 {
6 // 用户未登录。
7 pnlAnonymous.Visible = true;
8 pnlLoggedin.Visible = false;
9 }
10 else
11 {
12 // 用户已登录。
13 pnlAnonymous.Visible = false;
14 pnlLoggedin.Visible = true;
15
16 lblUserName.Text = HttpContext.Current.User.Identity.Name;
17 }
18 }
2 {
3 // 判断用户是否已登录。
4 if(HttpContext.Current.User.Identity.Name == "")
5 {
6 // 用户未登录。
7 pnlAnonymous.Visible = true;
8 pnlLoggedin.Visible = false;
9 }
10 else
11 {
12 // 用户已登录。
13 pnlAnonymous.Visible = false;
14 pnlLoggedin.Visible = true;
15
16 lblUserName.Text = HttpContext.Current.User.Identity.Name;
17 }
18 }
此外,我们还向项目中添加了default.aspx、login.aspx、register.aspx、test.aspx这样四个页面。其中test.aspx用于检验重定向到登录页后的ReturnUrl参数值,和登录后回到之前页面的效果。
用户注册
用户注册部分并不属于验证的范畴,因此Forms Authentication也没有提供过多的支持。然而用户注册是比较简单的,只需通过一个页面搜集用户信息,并存放到数据库中即可。在这个示例中,为了方便和突出真正要讨论的内容,用户信息并不是真的放到数据库中的,而是放在一个集合里,不过通过一个DataAccess类来隐藏这种差异。理论上,一旦关闭应用程序并重新开启,放在集合中的数据就会丢失。然而实际上,再重复运行这里的示例时,用户数据并不会丢失,即便应用程序有所改动也是。这是因为ASP.NET 2.0对于Web项目都是动态重新编译的,应用程序从未直接终止过。
此外,就用户的数据实体类而言,我们仅提供了注册、登录所必需的属性——用户名、密码散列值、密码Salt值。(关于密码的加Salt值散列,请参见之前的一篇短文。)
为了进行用户注册,我们建立了register.aspx页面,该页面仅负责搜集用户信息,真正的创建用户动作在App_Code下的Membership类中完成。注意,此Membership非彼Membership,与ASP.NET 2.0 Membership没有任何关系。
首先在Membership类中添加一个静态方法CreateUser,用于创建用户。该方法完成用户实体的创建和密码的散列等功能。其代码如下所示:
1 public static void CreateUser(string userName, string password)
2 {
3 UserObject user = new UserObject();
4 user.Name = userName;
5 user.PasswordSalt = GenerateSalt();
6 user.PasswordHash = EncodePassword(password, user.PasswordSalt);
7
8 DataAccess.AddUser(user);
9 }
10
2 {
3 UserObject user = new UserObject();
4 user.Name = userName;
5 user.PasswordSalt = GenerateSalt();
6 user.PasswordHash = EncodePassword(password, user.PasswordSalt);
7
8 DataAccess.AddUser(user);
9 }
10
这段代码非常简单,其中用到了GenerateSalt和EncodePassword方法,这两个方法用于完成salt值的生成和密码的加salt散列。其代码抽取自MembershipProvider类,进行了精简如下所示:
1 public const string PasswordHashAlgorithmName = "SHA1";
2
3 static string EncodePassword(string password, string salt)
4 {
5 byte[] src = Encoding.Unicode.GetBytes(password);
6 byte[] saltbuf = Convert.FromBase64String(salt);
7 byte[] dst = new byte[saltbuf.Length + src.Length];
8 byte[] inArray = null;
9 Buffer.BlockCopy(saltbuf, 0, dst, 0, saltbuf.Length);
10 Buffer.BlockCopy(src, 0, dst, saltbuf.Length, src.Length);
11
12 HashAlgorithm algorithm = HashAlgorithm.Create(PasswordHashAlgorithmName);
13 inArray = algorithm.ComputeHash(dst);
14
15 return Convert.ToBase64String(inArray);
16 }
17
18 static string GenerateSalt()
19 {
20 byte[] data = new byte[0x10];
21 new RNGCryptoServiceProvider().GetBytes(data);
22 return Convert.ToBase64String(data);
23 }
2
3 static string EncodePassword(string password, string salt)
4 {
5 byte[] src = Encoding.Unicode.GetBytes(password);
6 byte[] saltbuf = Convert.FromBase64String(salt);
7 byte[] dst = new byte[saltbuf.Length + src.Length];
8 byte[] inArray = null;
9 Buffer.BlockCopy(saltbuf, 0, dst, 0, saltbuf.Length);
10 Buffer.BlockCopy(src, 0, dst, saltbuf.Length, src.Length);
11
12 HashAlgorithm algorithm = HashAlgorithm.Create(PasswordHashAlgorithmName);
13 inArray = algorithm.ComputeHash(dst);
14
15 return Convert.ToBase64String(inArray);
16 }
17
18 static string GenerateSalt()
19 {
20 byte[] data = new byte[0x10];
21 new RNGCryptoServiceProvider().GetBytes(data);
22 return Convert.ToBase64String(data);
23 }
然后在register.aspx页面中创建搜集用户信息的表单,这个表单非常简单,仅需在ContentPlaceHolder1内添加如下代码:
1 <table>
2 <tr><td>用户名:</td><td><asp:TextBox ID="txtUserName" runat="server"></asp:TextBox></td></tr>
3 <tr><td>密码:</td><td><asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox></td></tr>
4 <tr><td colspan="2"><asp:Button ID="btnOK" runat="server" Text="确定"
5 onclick="btnOK_Click" /></td></tr>
6 </table>
7 <asp:Label ID="lblMessage" runat="server"></asp:Label>
2 <tr><td>用户名:</td><td><asp:TextBox ID="txtUserName" runat="server"></asp:TextBox></td></tr>
3 <tr><td>密码:</td><td><asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox></td></tr>
4 <tr><td colspan="2"><asp:Button ID="btnOK" runat="server" Text="确定"
5 onclick="btnOK_Click" /></td></tr>
6 </table>
7 <asp:Label ID="lblMessage" runat="server"></asp:Label>
注意这比实际的注册页要简单许多,没有对用户名和密码的格式做验证,也没有让用户重复输入密码以确保没有键入错误。但Anders Liu相信,对于聪明的读者而言这些都不是问题,所以不再赘述。
在“确定”按钮的事件处理器中添加如下代码,完成注册功能:
1 protected void btnOK_Click(object sender, EventArgs e)
2 {
3 try
4 {
5 Membership.CreateUser(txtUserName.Text, txtPassword.Text);
6
7 lblMessage.Text = "用户创建成功!";
8 }
9 catch(Exception ex)
10 {
11 lblMessage.Text = "错误:" + ex.Message;
12 }
13 }
14
2 {
3 try
4 {
5 Membership.CreateUser(txtUserName.Text, txtPassword.Text);
6
7 lblMessage.Text = "用户创建成功!";
8 }
9 catch(Exception ex)
10 {
11 lblMessage.Text = "错误:" + ex.Message;
12 }
13 }
14
用户登录
用户登录大致由下面几个步骤完成:
l 根据用户名取得与用户相关的信息(用户实体对象);
l 判断用户密码是否正确;
l 设置用户凭据Cookie并重定向到登录前页面。
我们主要还是在Membership类中来完成这些工作。为Membership类添加一个Login方法:
1 public static void Login(string userName, string password, bool rememberMe)
2 {
3 // 获取用户。
4 UserObject user = DataAccess.GetUserByName(userName);
5 if(user == null)
6 throw new ArgumentException("用户不存在!", "UserName");
7
8 // 检查密码是否正确。
9 string pwdHash = EncodePassword(password, user.PasswordSalt);
10 if(pwdHash != user.PasswordHash)
11 throw new ArgumentException("密码错误!", "Password");
12
13 // 设置安全Cookie并进行重定向。
14 FormsAuthentication.RedirectFromLoginPage(userName, rememberMe);
15 }
2 {
3 // 获取用户。
4 UserObject user = DataAccess.GetUserByName(userName);
5 if(user == null)
6 throw new ArgumentException("用户不存在!", "UserName");
7
8 // 检查密码是否正确。
9 string pwdHash = EncodePassword(password, user.PasswordSalt);
10 if(pwdHash != user.PasswordHash)
11 throw new ArgumentException("密码错误!", "Password");
12
13 // 设置安全Cookie并进行重定向。
14 FormsAuthentication.RedirectFromLoginPage(userName, rememberMe);
15 }
这里重点在于检查密码,不过其工作方式已经在上一篇文章中介绍过了,此处不再赘述。读者应该注意到,对密码进行散列使用的是已经存放在数据实体中的Salt值,而不是重新生成Salt值。
这段示例代码通过抛异常来返回错误信息。读者在实际编写这个方法时,可以创建多个Exception类的派生类,分别表示不同的错误;或者采取其他无需抛异常的方式。这一点仁者见仁,智者见智。
接下来,提供一个简单的登录页,完成收集用户名和密码的工作。login.aspx页面的结构也很简单,只需在<ContentPlaceHolder1>中添加下列代码:
1 <table>
2 <tr><td>用户名:</td><td><asp:TextBox ID="txtUserName" runat="server"></asp:TextBox></td></tr>
3 <tr><td>密码:</td><td><asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox></td></tr>
4 <tr><td colspan="2">
5 <asp:Button ID="btnLogin" runat="server" Text="登录" onclick="btnLogin_Click" />
6 <asp:CheckBox ID="chkRememberMe" runat="server" Text="记住我" />
7 </td></tr>
8 </table>
9 <asp:Label ID="lblMessage" runat="server"></asp:Label>
2 <tr><td>用户名:</td><td><asp:TextBox ID="txtUserName" runat="server"></asp:TextBox></td></tr>
3 <tr><td>密码:</td><td><asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox></td></tr>
4 <tr><td colspan="2">
5 <asp:Button ID="btnLogin" runat="server" Text="登录" onclick="btnLogin_Click" />
6 <asp:CheckBox ID="chkRememberMe" runat="server" Text="记住我" />
7 </td></tr>
8 </table>
9 <asp:Label ID="lblMessage" runat="server"></asp:Label>
最后,在“登录”按钮的事件处理器中添加如下代码,调用刚刚写好的Membership.Login方法,完成登录。
1 protected void btnLogin_Click(object sender, EventArgs e)
2 {
3 try
4 {
5 Membership.Login(txtUserName.Text, txtPassword.Text, chkRememberMe.Checked);
6 }
7 catch(Exception ex)
8 {
9 lblMessage.Text = "错误:" + ex.Message;
10 }
11 }
12
2 {
3 try
4 {
5 Membership.Login(txtUserName.Text, txtPassword.Text, chkRememberMe.Checked);
6 }
7 catch(Exception ex)
8 {
9 lblMessage.Text = "错误:" + ex.Message;
10 }
11 }
12
至此,用户登录功能就OK了。由于之前已经完成了判断用户是否登录的代码,现在就可以运行示例,注册一个用户并尝试从各个页面进入登录页进行登录了。
用户注销
至此,我们已经为用户进入我们的系统提供了宽敞大路;但作为一个负责任的程序,我们还得确保当用户离开我们的程序时,能够“挥一挥衣袖”不留下一丝痕迹。这个安全离开的行为,我们称之为“注销”;要抹去的“痕迹”也就是登录时留下的用户凭据Cookie。
本文的第一部分已经介绍过,FormsAuthentication.SignOut方法可以协助完成这一任务。我们在MasterPage中也预先放置好了一个“注销”链接按钮,在这里,只要为该按钮添加如下事件处理器即可:
1 protected void btnLogout_Click(object sender, EventArgs e)
2 {
3 FormsAuthentication.SignOut();
4 Response.Redirect(Request.RawUrl);
5 }
2 {
3 FormsAuthentication.SignOut();
4 Response.Redirect(Request.RawUrl);
5 }
在这里,首先通过调用FormsAuthentication.SignOut方法移除了用户凭证Cookie。这个方法并不能自动完成跳转,因此我么必须自己完成跳转任务。关于注销后跳转到哪个页面,每个应用程序都有自己的方式(如跳到登录页或跳到首页等),这里选择的是刷新当前页。
小结
好了,到现在为止,完整的用户注册、登录功能就都实现了。由于有了FormsAuthentication类,这一任务已经非常简单了。这一部分仅仅是从实践的角度顺序操作了一下。
下一部分将介绍如何将我们自己的用户实体放到HttpContext.User属性中。
使用Forms Authentication实现用户注册、登录 (二)用户注册与登录相关推荐
- 使用Forms Authentication实现用户注册、登录 (三)用户实体替换
使用Forms Authentication实现用户注册.登录 (三)用户实体替换 收藏 IPrincipal和IIdentity 通过查阅文档,我们可以看到HttpContext.User属性的类型 ...
- APP新用户注册、手机号绑定、用户登录验证新方式——一键登录(免密登录)验证方式新趋势
传统的手机APP应用注册通常需要用户输入用户名,填写用户密码,同时通过获取验证码绑定手机号.用户一旦注册后再次登录传统的方式都是提供用户名加密码,或者凭手机验证码登录.当然现在许多APP为了获取更多的 ...
- drupal用户注册邮件smtp及社会化登录模块安装
一直没有开放评论,怕的是垃圾评论和机器人注册,现在我想开启游客评论功能并尽可能的防止垃圾评论.一是增加QQ等开放性登录功能,二是注册需电子邮件验证,三是注册登录发表评论时要求验证码. drupal社会 ...
- 智能玩具 数据采集 首页展示 注册 登录 自动登录 二维码图片
玩具需求分析 1.语音实时通讯 - 让玩具成为孩子与父母之间沟通的桥梁 分支 建立幼儿社交圈2.积极正面幼教内容 - 让玩具能够播放 父母选定的儿歌,故事,百科,英语- 通过语音识别内容名称 玩具可以 ...
- 使用Forms Authentication 身份验证 之 Basic Knowledge
与Forms Authentication相关的配置 在web.config文件中,<system.web>/<authentication>配置节用于对验证进行配置.为< ...
- ASP.NET 中的表单身份验证(Forms Authentication)
表单验证可以通使用一个登录页面验证用户的用户名和密码.未通过验证的请求会被重定向到登录页面,要求用户输入其凭据信息(同常是用户名和密码).如果请求通过验证,系统将签发一个身份验证票据,在用户会话期间, ...
- 2022 最新 Android 基础教程,从开发入门到项目实战【b站动脑学院】学习笔记——实战二:简易登录+找回密码
在移动互联网时代,用户是每家IT企业最宝贵的资源,对于App而言,吸引用户注册并登录是万分紧要之事,因为用户登录之后才有机会产生商品交易.登录校验通常是用户名+密码组合,可是每天总有部分用户忘记密码, ...
- Spring Cloud OAuth2 扩展登录方式:帐户密码登录、 手机验证码登录、 二维码扫码登录
本文扩展了spring security 的登录方式,增长手机验证码登录.二维码登录. 主要实现方式为使用自定义filter. AuthenticationProvider. AbstractAuth ...
- Forms Authentication timeout and Expiration
本文不涉及session的timeout 在Forms Authentication里有两处涉及timeout:forms authentication ticket 与 forms authenti ...
最新文章
- redis学习笔记---redis的哨兵Sentinel
- 一分钟详解OpenCV之相机标定函数calibrateCamera()
- hdu 1872(看病要排队)(优先队列)
- 关于Opencv2.4.x中stitcher类的简单应用
- es6 数组去重,数组里面的对象去重
- IAR教程之IAR安装
- msvcr120d.dll 丢失
- 读取Java源文件中字段的注释当做Swagger的字段描述
- 玉米社:SEM竞价推广预算设置方法
- java五子棋网络版源码_网络版五子棋的java源代码.pdf
- 微信小程序 - 小程序分享转发
- 菲尔兹奖-历届获得者
- Java中的四种XML解析方式(一)
- rich-text 富文本标签
- 我的java开发及桌面工具集合分享
- uboot启动参数详解和一些细节
- 毕业设计-基于深度学习的图像去噪方法研究
- 客户关系管理系统PRD编写
- WordPress后台上传文件大小受限制解除方法
- /wp-cron.php_通过CRON / PHP快速检测被黑客入侵的文件:SuperScan