把你不需要驗(yàn)證的所有頁放在一個(gè)目錄下面,但是不用在那個(gè)目錄下面的WEB.CONFG中對(duì)FROMS驗(yàn)證模式進(jìn)行設(shè)置。只要在最上層的WEB.CONFIG中統(tǒng)一設(shè)置就可以了.比如下面的例子:
一、設(shè)置所有頁面都需要驗(yàn)證
<system web>
<authentication mode="Forms">
??? <forms? loginUrl = "Lonin.aspx" name = ".ASPXFORMSAUTH"/>
</authentication>?
</system web>
二、再特別設(shè)置對(duì)某個(gè)目錄下的頁面不需要驗(yàn)證(NoAuto為不需要驗(yàn)證的頁面所在的目錄)
<location path="NoAuto">
??? <system.web>
????? <authorization>
??????? <allow users="*" />
????? </authorization>
??? </system.web>
</location>
一.?????
設(shè)置
web.config
相關(guān)選項(xiàng)
先啟用窗體身份驗(yàn)證和默認(rèn)登陸頁
,
如下。
<authentication mode="Forms">
?????? <forms loginUrl="default.aspx"></forms>
</authentication>
設(shè)置網(wǎng)站可以匿名訪問,如下
<authorization>
?????????? <allow users="*" />
</authorization>
然后設(shè)置跟目錄下的
admin
目錄拒絕匿名登陸,如下。注意這個(gè)小節(jié)在
System.Web
小節(jié)下面。
???? <location path="admin">
?????? <system.web>
?????????? <authorization>
????????????? <deny users="?"></deny>
?????????? </authorization>
?????? </system.web>
</location>
把
http
請(qǐng)求和發(fā)送的編碼設(shè)置成
GB2312,
否則在取查詢字符串的時(shí)候會(huì)有問題,如下。
<globalization requestEncoding="gb2312" responseEncoding="gb2312" />
設(shè)置
session
超時(shí)時(shí)間為
1
分鐘,并啟用
cookieless
,如下。
<sessionState mode="InProc" cookieless="true" timeout="1" />
為了啟用頁面跟蹤,我們先啟用每一頁的trace,以便我們方便的調(diào)試,如下。
<trace enabled="true" requestLimit="1000" pageOutput="true" traceMode="SortByTime" localOnly="true" />
二.?????
設(shè)置Global.asax文件
處理Application_Start方法,實(shí)例化一個(gè)哈西表,然后保存在Cache里
??? protected void Application_Start(Object sender, EventArgs e)
??? {
?????? Hashtable h=new Hashtable();
?????? Context.Cache.Insert("online",h);
}
??? 在Session_End方法里調(diào)用LogoutCache()方法,方法源碼如下
/// <summary>
??? /// 清除Cache里當(dāng)前的用戶,主要在Global.asax的Session_End方法和用戶注銷的方法里調(diào)用? ??? /// </summary>
??? public void LogoutCache()
??? {
?????? Hashtable h=(Hashtable)Context.Cache["online"];
?? ??? if(h!=null)
?????? {
?????????? if(h[Session.SessionID]!=null)
?????????? h.Remove(Session.SessionID);
?????????? Context.Cache["online"]=h;
?????? }
}
三.?????
設(shè)置相關(guān)的登陸和注銷代碼
登陸前調(diào)用PreventRepeatLogin()方法,這個(gè)方法可以防止用戶重復(fù)登陸,如果上次用戶登陸超時(shí)大于1分鐘,也就是關(guān)閉了所有admin目錄下的頁面達(dá)到60秒以上,就認(rèn)為上次登陸的用戶超時(shí),你就可以登陸了,如果不超過60秒,就會(huì)生成一個(gè)自定義異常。在Cache["online"]里保存了一個(gè)哈西表,哈西表的key是當(dāng)前登陸用戶的SessionID,而Value是一個(gè)ArrayList,這個(gè)ArrayList有兩個(gè)元素,第一個(gè)是用戶登陸的名字第二個(gè)元素是用戶登陸的時(shí)間,然后在每個(gè)admin目錄下的頁刷新頁面的時(shí)候會(huì)更新當(dāng)前登陸用戶的登陸時(shí)間,而只admin目錄下有一個(gè)頁打開著,即使不手工向服務(wù)器發(fā)送請(qǐng)求,也會(huì)自動(dòng)發(fā)送一個(gè)請(qǐng)求更新登陸時(shí)間,下面我在頁面基類里寫了一個(gè)函數(shù)來做到這一點(diǎn),其實(shí)這會(huì)增加服務(wù)器的負(fù)擔(dān),但在一定情況下也是一個(gè)可行的辦法.
/// <summary>
?????? /// 防止用戶重復(fù)登陸,在用戶將要身份驗(yàn)證前使用
?????? /// </summary>
?????? /// <param name="name">要驗(yàn)證的用戶名字</param>
?????? private void PreventRepeatLogin(string name)
?????? {
?????????? Hashtable h=(Hashtable)Cache["online"];
?????????? if(h!=null)
?????????? {
????????????? IDictionaryEnumerator e1=h.GetEnumerator();
????????????? bool flag=false;
????????????? while(e1.MoveNext())
????????????? {????????????????
????????????????? if((string)((ArrayList)e1.Value)[0]==name)
????????????????? {
???????????????????? flag=true;
????????????? ?????? break;
????????????????? }
????????????? }
????????????? if(flag)
????????????? {
????????????????? TimeSpan ts=System.DateTime.Now.Subtract(Convert.ToDateTime(((ArrayList)e1.Value)[1]));
????????????????? if(ts.TotalSeconds<60)
???????????????????? throw new oa.cls.MyException("對(duì)不起,你輸入的賬戶正在被使用中,如果你是這個(gè)賬戶的真正主人,請(qǐng)?jiān)谙麓蔚顷憰r(shí)及時(shí)的更改你的密碼,因?yàn)槟愕拿艽a極有可能被盜竊了!");
????????????????? else
???????????????????? h.Remove(e1.Key);???????
????????????? }
?????????? }
?????????? else
?????????? {
????????????? h=new Hashtable();
?????????? }
?????????? ArrayList al=new ArrayList();
?????????? al.Add(name);
?????????? al.Add(System.DateTime.Now);
?????????? h[Session.SessionID]=al;
?????????? if(Cache["online"]==null)
?????????? {
????????????? Context.Cache.Insert("online",h);
?????????? }else
????????????? Cache["Online"]=h;?????????
??? }
用戶注銷的時(shí)候調(diào)用上面提到LogoutCache()方法
四.?????
設(shè)置admin目錄下的的所有頁面的基類
using System;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.HtmlControls;
using System.Collections;
?
?
?
?
namespace oa.cls
{
??? public class MyBasePage : System.Web.UI.Page
??? {
?
?????? /// <summary>
?????? /// 獲取本頁是否在受保護(hù)目錄,我這里整個(gè)程序在OA的虛擬目錄下,受保護(hù)的目錄是admin目錄
?????? /// </summary>
?????? protected bool IsAdminDir
?????? {
?????????? get
??? ?????? {
????????????? return Request.FilePath.IndexOf("/oa/admin")==0;
?????????? }
?????? }
?
?????? /// <summary>
?????? /// 防止session超時(shí),如果超時(shí)就注銷身份驗(yàn)證并提示和轉(zhuǎn)向到網(wǎng)站默認(rèn)頁
?????? /// </summary>
?????? private void PreventSessionTimeout()
?????? {
?????????? if(!this.IsAdminDir) return;
?????????? if(Session["User_Name"]==null&&this.IsAdminDir)
?????????? {????????????
????????????? System.Web.Security.FormsAuthentication.SignOut();
????????????? this.Alert("登陸超時(shí)",Request.ApplicationPath)
?????????? }
?????? }
?????? /// <summary>
?????? /// 每次刷新本頁面的時(shí)候更新Cache里的登陸時(shí)間選項(xiàng),在下面的OnInit方法里調(diào)用.
?????? /// </summary>
?????? private void UpdateCacheTime()
?????? {
?????????? Hashtable h=(Hashtable)Cache["online"];
?????????? if(h!=null)
?????????? {
????????????? ((ArrayList)h[Session.SessionID])[1]=DateTime.Now;
?????????? }
?????????? Cache["Online"]=h;
?????? }
?????? /// <summary>
?????? /// 在跟蹤里輸出一個(gè)HashTable的所有元素,在下面的OnInit方法里調(diào)用.以便方便的觀察緩存數(shù)據(jù)
?????? /// </summary>
?????? /// <param name="myList"></param>
?????? private void TraceValues( Hashtable myList)?
?????? {
?????????? IDictionaryEnumerator myEnumerator = myList.GetEnumerator();
?????????? int i=0;
?????????? while ( myEnumerator.MoveNext() )
?????????? {
????????????? Context.Trace.Write( "onlineSessionID"+i, myEnumerator.Key.ToString());
????????????? ArrayList al=(ArrayList)myEnumerator.Value;
????????????? Context.Trace.Write( "onlineName"+i, al[0].ToString());
????????????? Context.Trace.Write( "onlineTime"+i,al[1].ToString());
????????????? TimeSpan ts=System.DateTime.Now.Subtract(Convert.ToDateTime(al[1].ToString()));
??? ?????????? Context.Trace.Write("當(dāng)前的時(shí)間和此登陸時(shí)間間隔的秒數(shù)",ts.TotalSeconds.ToString());
????????????? i++;
?????????? }
?????? }
?
?????? /// <summary>
?????? /// 彈出信息并返回到指定頁
?????? /// </summary>
?????? /// <param name="msg">彈出的消息</param>
?????? /// <param name="url">指定轉(zhuǎn)向的頁面</param>
?????? protected void Alert(string msg,string url)
?????? {
?????????? string scriptString = "<script language=JavaScript>alert(\""+msg+"\");location.href=\""+url+"\"</script>";
?????????? if(!this.IsStartupScriptRegistered("alert"))
????????????? this.RegisterStartupScript("alert", scriptString);
?????? }
?????? /// <summary>
?????? /// 為了防止常時(shí)間不刷新頁面造成會(huì)話超時(shí),這里寫一段腳本,每隔一分鐘向本頁發(fā)送一個(gè)請(qǐng)求以維持會(huì)話不被超時(shí),這里用的是xmlhttp的無刷新請(qǐng)求
?????? /// 這個(gè)方法也在下面的OnInit方法里調(diào)用
?????? /// </summary>
?????? protected void XmlReLoad()
?????? {?????
?????????? System.Text.StringBuilder htmlstr=new System.Text.StringBuilder();
?????????? htmlstr.Append("<SCRIPT LANGUAGE=\"JavaScript\">");
?????????? htmlstr.Append("function GetMessage(){");
?????????? htmlstr.Append("? var xh=new ActiveXObject(\"Microsoft.XMLHTTP\");");
?????????? htmlstr.Append("? xh.open(\"get\",window.location,false);");
?????????? htmlstr.Append("? xh.send();");
?????????? htmlstr.Append("? window.setTimeout(\"GetMessage()\",60000);");
?????????? htmlstr.Append("}");
?????????? htmlstr.Append("window.onload=GetMessage();");
?????????? htmlstr.Append("</SCRIPT>?????? ");
?????????? if(!this.IsStartupScriptRegistered("xmlreload"))
????????????? this.RegisterStartupScript("alert", htmlstr.ToString());
?????? }
?
?????? override protected void OnInit(EventArgs e)
?????? {
?????????? base.OnInit(e);
?????????? this.PreventSessionTimeout();
?????????? this.UpdateCacheTime();
?????????? this.XmlReLoad();
?????????? if(this.Cache["online"]!=null)
?????????? {
????????????? this.TraceValues((System.Collections.Hashtable)Cache["online"]);
?
?????????? }
?????? }
??? }
?
}
五.?????
寫一個(gè)自定義異常類
首先要在跟目錄下寫一個(gè)錯(cuò)誤顯示頁面ShowErr.aspx,這個(gè)頁面根據(jù)傳遞過來的查詢字符串msg的值,在一個(gè)Label上顯示錯(cuò)誤信息。
using System;
?
namespace oa.cls
{
??? /// <summary>
??? /// MyException 的摘要說明。
??? /// </summary>
??? public class MyException:ApplicationException
??? {
?
?????????? /// <summary>
?????????? /// 構(gòu)造函數(shù)
?????????? /// </summary>
?????????? public MyException():base()
?????????? {
?????????? }
?????????? /// <summary>
?????????? /// 構(gòu)造函數(shù)
?????????? /// </summary>
?????????? /// <param name="ErrMessage">異常消息</param>
?????????? public MyException(string Message):base(Message)
?????????? {
?????????? ??? System.Web.HttpContext.Current.Response.Redirect("~/ShowErr.aspx?msg="+Message);
?????????? }
?????????? /// <summary>
?????????? /// 構(gòu)造函數(shù)
?????????? /// </summary>
?????????? /// <param name="Message">異常消息</param>
?????????? /// <param name="InnerException">引起該異常的異常類</param>
?????????? public MyException(string Message,Exception InnerException):base(Message,InnerException)
?????????? {
?????????? }
?????? }
}
六.總結(jié)
我發(fā)現(xiàn)在
Session
里保存的值,比如
session["name"]
是沒有任何向服務(wù)器的請(qǐng)求達(dá)到
1
分鐘后就會(huì)自動(dòng)丟失
,
但是
session ID
是關(guān)閉同一進(jìn)程的瀏覽器頁面后達(dá)
1
分鐘后才會(huì)丟失并更換的
,
因?yàn)橹灰汩_著瀏覽器就會(huì)有
session ID,
無論是在
url
里保存還是在
cookies
里。不知道這個(gè)結(jié)論對(duì)不對(duì),反正我在設(shè)置了
session
的
timeout
為
1
分鐘后,
session["name"]
的值已經(jīng)沒有了,可是
SessionID
還是舊的,
Global.asax
里的
Session_End
里的代碼也沒有執(zhí)行,而身份驗(yàn)證票據(jù)也沒有丟失。我不知道這三者之間的關(guān)系是怎樣的,誰先誰后,好像在<authentication>小節(jié)可以設(shè)置一個(gè)timeout屬性,不過項(xiàng)目趕的緊,我沒時(shí)間研究了。
以上這些代碼比較零散,我花費(fèi)了
2
天的時(shí)間才總結(jié)出來這套方案,不是很完美,但是暫時(shí)只能這樣了,不能在這方面浪費(fèi)很多時(shí)間了,大家可以把上面的代碼組織到一個(gè)類里,然后把方法都修改成靜態(tài)方法方便調(diào)用。
http://www.cnblogs.com/wayne-ivan/archive/2008/01/28/1056284.html
WEB.CONFG中對(duì)FROMS驗(yàn)證模式進(jìn)行設(shè)置