ASP.net 2.0出来以后,一直想用一下2.0的Membership,这个封装的很好的网站权限管理工具。我采用的是SQLProvider,用aspnet_regsql产生了所需要的表,并且配置了web.config,但是在实际使用中却遇到了不少的问题,包括登录以后通过Membership.GetUser()来获取当前登录的用户,结果代码返回给我的是null.....包括在webconfig中的认证和授权的设置,似乎也全然不起效果,经过一番搜索,还是无法解决这个问题,于是没办法,只能利用membership,但是却自己实现整个认证授权的过程。
因为login控件不起作用,所以就自己写了一个login.aspx的页面,这个页面通过Membership.ValidateUser()函数对用户的登录进行判断,用户成功登录以后,将用户的username保存到session中。
自己实现了一个XML序列化的可配置的对象,大致如一下的结构
<?xml version="1.0"?>
<SecurityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<PageLocations>
<PageLocation Location="~/admin/admin/RoleManager.aspx">
<Allow Roles="Administrator" />
</PageLocation>
</PageLocations>
</SecurityConfig>
PageLocations是一个PageLocation的List对象集合,Pagelocation中location包含了所要加入权限的页面。Pagelocation中的包含一个Allow对象,其中有一个属性是Roles,包含页面可授权的用户角色,可以用逗号分割,这样把所有的页面加入到这个XML结构中。
然后实现如下的一个函数:
/// <summary>
/// 是否允许访问该页
/// </summary>
/// <param name="url">授权的路径</param>
/// <param name="rolenames">授权角色</param>
/// <returns>是否获得授权</returns>
public bool isAllow(Uri url,string[] rolenames,HttpContext context)
{
string path=context.Server.MapPath(url.AbsolutePath);
PageLocation theLocation = null;
foreach (PageLocation location in pageLocations)
{
string strlocation;
strlocation=context.Server.MapPath(location.Location);
if (strlocation.ToLower() == path.ToLower())
{
theLocation = location;
}
}
if (theLocation != null)
{
string[] roles = theLocation.Allow.Roles.Split(',');
foreach (string role in roles)
{
foreach (string rolename in rolenames)
{
if (rolename == role)
{
return true;
}
}
}
return false;
}
else
{
return false;
}
}
通过对当前访问页面的绝得路径和xml中的绝得路径进行比较,然后取得xml中描述的Pagelocation对象,从而判断他Allow的Role是不是和当前的用户的Role是不是匹配,从而来实现角色的安全授权。
由于我这个管理是用在一个后台的安全管理上面,所以写了一个用户控件来封装这个SecurityConfig 类,通过Context.Session[]来取得登录的用户账号,然后通过Roles.GetRolesForUser(username)来取得登录用户的角色,然后将Context.Request.Url和roles一起传入到刚才的函数中,如果用户获得授权就展示当前页面,不然就跳转到自己得登录页面或者提示你无此权限。
由于我使用了MasterPage,所以对于这种情况我只要把这个控件绑定到masterpage上,这样每个页面就都在管理中了,并且在后台写一个对这个SecurityConfig 对象得编辑和序列化得页面,就实现了对所有页面得权限控制。
对于采用这种方式,也是在玩不灵Membership时候得一个下策,这样即利用了Membership提供得关于用户得如CreateUser,CreateRoles这些基本功能,又满足了对权限设置得需要,现在也只能这么处理了。
第一次在首页投稿,另外希望哪位朋友能告诉我什么情况下.net得授权会不灵。
http://www.cnblogs.com/livesite/archive/2006/08/14/membership.html
