一、 ASP.Net提供对于权限安全提供的技术
Authentication(验证) MembershipProvider (用保存的信息验证用户是 谁)
Authorization(授权) RoleProvider (实现用户和角色的映射,允许用户 可以做什么 )
二、 Membership Service介绍
Membership公开了大部分的Membership Service API, 允许执行各种任务:
创建 /更新/ 删除/找回 Membership用户。
MembershipUser 是已存在的membership 用户的一个运行时表现。允许:
更改 /重置密码
Membership类中的所有方法都是接受 /返回一个或者一组MembershipUser的实例
三、 RoleProvider介绍
RoleProvider提供了基于数据存储的角色管理, 可以从数据源保存或者读取角色信息。
四、场景应用
MemberShip类有多个静态方法, 比如 ValidateUser,CreateUser 等等, Asp.Net内部调用相关方法实现用户管理。
Roles类有多个静态方法, 比如 IsUserInRole,AddUsersToRole 等等,Asp.Net内部调用相关方法实现角色管理。
五、VS工程配置
1. 添加User和Role的配置
web.config里添加使用Provider的节点。其中CustomMembershipProvider和CustomRoleProvider是我们实现上面接口的类。
2.添加Form验证
3.LogOn方法中的使用
[HttpPost]
public ActionResult LogOn(LogOnModel model, string returnUrl) { if (ModelState.IsValid) { if (Membership.ValidateUser(model.UserName, model.Password)) { FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe); if (Url.IsLocalUrl(returnUrl) && returnUrl.Length > 1 && returnUrl.StartsWith("/") && !returnUrl.StartsWith("//") && !returnUrl.StartsWith("/\\")) { return Redirect(returnUrl); } else { FormsAuthentication.RedirectFromLoginPage(model.UserName, false); //return RedirectToAction("Index", "PatientAdmin"); } } else { ModelState.AddModelError("", "The user name or password provided is incorrect."); } } // If we got this far, something failed, redisplay form return View(model); } 4.继承AuthorizeAttribute属性, 重载boolAuthorizeCore(HttpContextBasehttpContext)方法,在方法中调用权限管理的接口。
