用戶認證

　　.net提供了3種用戶認證的方式，分別是Windows,Forms，Passport。這幾種形式的定義可以在網站根目錄下Web.config中的authentication節點中看見。Windows是默認的驗證形式，它是根據機器的訪問權限來判斷的。Passport是微軟提供的一種驗證形式，不常用。我們需要的知道并了解的是forms形式。forms驗證就是表單認證，提供了以身份id和密碼的形式進行驗證和授權管理的功能。

在正式使用forms驗證之前我們先看看它運行的一個流程：

　　從上圖我們可以看出我們需要做一下幾件事情：

　　1.配置web.config啟用forms驗證

　　2.配置授權設置（哪些頁面未注冊用戶可以訪問）

　　3.登錄頁面中生成用戶票據便于其他頁面訪問

　　下面就來通過一個項目例子演示如何解決。源代碼我會在下面放出來，大家可以參照源代碼看看。先看看項目的截圖以便有個直觀的了解：

　　配置web.config

　　配置方法如下，沒有驗證的用戶根據配置自動跳轉到loginUrl里面的頁面去登陸。

　　配置授權設置

　　同樣是在web.config中的<system.web>下增加如下節點，“？”的意思指匿名用戶，而“*”則表示所有用戶。下面這個意思就是說根目錄下的所有頁面拒絕被匿名用戶訪問。當然你也可以在users中填寫指定的用戶ID，不過那樣并不常用。還有deny，allow的順序是先寫allow完了再deny，不然就會出現問題。這個大家要記住。

　　生成用戶票據

　　我們在登錄事件的邏輯代碼中（Login.aspx下）增加如下代碼：

　　很簡單的幾個設置就完成了用戶的認證，是不是比你在每個頁面中都判斷用戶是否登錄簡便的多呢？！當然了，上面的認證只是簡單的認證。假如我要實現User文件夾內的網頁只有登錄用戶可以訪問，其他的則全部用戶都可以訪問怎么做呢？很簡單，不需要你編寫代碼。更改一下配置文件就是了。將根目錄下的web.config的authorization標簽改為<allow users="*"/>。然后在user文件下加一個web.config并修改內容如下：

　　現在再去測試看看已經能達到效果了。所以說通過配置文件的組合你可以構造出一個相對復雜的用戶授權訪問機制出來。不過通常我們的用戶不是會員與非會員那么簡單。會員中也有類別，比如初級，高級等等。這些用戶能訪問的用戶也是不一樣的。這時這種簡單的登錄不登錄判斷已經沒有用了，我們需要引入用戶角色的概念，也就是我們下面講的用戶授權。

      我們這里將的用戶授權主要是基于角色的授權。上面我們已經講過了認證用戶的原理，就是通過用戶登錄的時候給用戶一個表明身份的票據，以后用戶登錄的時候通過這個票據就能知道這個用戶已經被認證了。角色授權就是在給用戶票據的時候在里面假如了一個字符串的角色信息，比如“Administrator”，然后當一個請求過來的時候asp.net會有一個Application_AuthenticateRequest的事件專門用戶驗證用戶認證授權。在這個事件中我們只需將這個字符表達的角色重建給用戶就可以了。可惜的是.net并沒有提供對角色的直接支持，雖然角色字符也被我們保存到了cookie中，不過也在服務器端的角色還原過程還是需要我們自己寫的。我們在Global.asax的Application_AuthenticateRequest方法中增加如下代碼：

　　因為我們需要在票據中增加角色信息，所以我們上面的登錄方法中添加票據的方法已經不再適用，更改為如下：

　　最后我們再來更改一下配置文件，設置info.aspx只有Administrator的角色才可以訪問。在根目錄的web.config下<system.web>標簽下面增加如下配置：

　　表示info.aspx只有administrator角色的會員才能訪問。當然如果你想實現文件夾的授權設置，和上面的設置類似在那個文件夾下面的web.config配置一下即可。

　　其實園子內這類的文章已經不少了，我之所以要寫這么一篇主要還是想通過寫博客來加深這塊知識的理解。下面是我找的比較不錯的認證授權的文章，意猶未盡的可以接著再看看。

　　無常，http://www.cnblogs.com/wuchang/archive/2004/07/26/27474.aspx

　　菩提樹下的楊過.Net，http://www.cnblogs.com/yjmyzz/archive/2010/08/29/1812038.html