1、简介
ASP.NET 是建立微软.Net平台上的WEB编程框架,可用于在服务器上生成功能强大、结构清晰的 Web 应用程序。有必要指出的是,由于 ASP.NET 基于.Net公共语言运行库,因此在ASP.NET中可以利用整个.Net平台的全部功能。
本文通过对ASP.NET开发中的页面访问控制问题的描述,涉及到了Request、Response、Session、Cookie这几个对象,并对ASP.NET的工作方式、Session安全性、ASP页面的生命周期做了较为详细的分析,以期提供一个ASP.NET开发快速入门的参考。
2、环境介绍及预备知识:
(1)、Windows XP Professional(Windows 2000、Windows 2003)+IIS
(2)、.Net Framework SDK 1.1(VS.Net 2003中自带)
(3)、Visual Studio.Net 2003
请根据指南正确对IIS、VS.Net2003的加以安装。使用Windows2003的用户:在VS.Net 2003安装好以后,请确认IIS 中的ASP.NET Web服务扩展是允许的,否则,您将无法使用ASP.NET。
本文假设您能使用C#在.Net平台上做简单的WinForm开发,并了解一定的HTML知识。
3、正文:
(1)、创建项目
启动VS.NET 2003,选择菜单命令新建->项目,弹出新建项目对话框,新建一个ASP.NET项目,本文里使用的项目位置为http://localhost/WebApplication1。
单击确认,IDE将创建项目。在解决方案管理器中,我们可以发现IDE自动为我们添加了一个名位WebForm1.aspx的页面,请删掉它,然后为我们的项目添加两个ASP.NET页面,名称分别为SignIn.aspx、Protected.aspx。
查看SignIn.aspx的HTML代码,在第一行你可以发现:
<%@ Page language="c#" Codebehind="SignIn.aspx.cs" AutoEventWireup="false" Inherits="WebApplication1.SignIn" %>
很有必要介绍一下Codebehind属性和Inherits属性。ASP.NET较之ASP一个最大的进步,就是实现了Web开发中HTML 代码(负责呈现用户界面)和程序代码(负责实现业务逻辑)的分离。
ASP.NET页面在运行时,首先时被解释加以编译成为一个类,这个类继承了Inherits属性指定的预先编译在程序集中的类,然后ASP.NET页面编译后生成的类被启动来处理请求(注意:继承的方式在ASP.NET2.0中已被取消,在2.0版本中,页面连同程序代码编译成同一类)。
有了上面的叙述,我们可以知道Codebehind属性指示了ASP.NET页面所要继承父类的代码文件(提示:在ASPX页面中添加了WEB控件后,然后打开页面对应的代码文件,查看父类代码发生了那些变化,你将了解上述的ASP.NET页面执行模式)。
(2)、完成代码
查看SignIn.aspx的HTML代码,在<FONT face="宋体">和</FONT>中插入如下非常常见的HTML代码:
用户名:<input name="username" type="text" size="16"><BR>
密码:<input name="password" type="password" size="16"><BR>
<input type="submit" name="Submit" value="登入">
<input type="reset" name="Reset" value="重填">
然后切换到SigIn.aspx页面的设计视图,如下所示:
在登入按钮上单击鼠标右键,选择“作为服务器控件运行”,我们可以发现,登入按钮的左上角多了一个带边框的绿色小三角,如此将两个文本框也转换为服务器控件。
在ASP.NET中,服务器控件具有在服务器上可见并可编程的属性。在上述操作中,我们通过将 HTML 元素转换为 HTML 服务器控件,将其公开为可在服务器上编程的元素,这使得我们可以使用类似WinForm编程的方法来使用它们(提示:原有的HTML设计代码可以按同样的方法非常方便的重用到ASPX页面中)。
双击登入按钮,窗口切换到代码文件SignIn.aspx.cs,你可以发现,IDE已经自动添加了该按钮的事件处理函数,在该函数里填入我们的程序代码,如下:
private void Submit1_ServerClick(object sender, System.EventArgs e)
{
if(Text1.Value=="asp"&&Password1.Value=="net")
{
//填入Session,用作权限控制
Session["USERNAME"]="asp";
Session["AccessCount"] = 1;
//创建Cookie
System.Web.HttpCookie cookie=new HttpCookie("UserInfo");
cookie["UserName"] = "asp";
cookie["AccessCount"] = "1";
cookie.Expires = DateTime.Now.AddDays(30);
Response.Cookies.Add(cookie);
//重定向到受保护页面
Response.Redirect("Protected.aspx?Message=Parameter In Url");
}
}
上述程序代码非常简单,参看注释可以快速理解。这里值得提一下的是Session的安全性和Cookie的安全性问题。
我们知道,HTTP是无状态的,但是Web 应用必须提供对某些跨请求状态信息的维持,最常见的例子就是Web购物站点的购物车,因此所有的Web编程环境均提供了会话(Session)支持。在ASP.NET中,会话都是使用 120 位的 SessionID 字符串进行标识和跟踪的,SessionID 值是使用保证唯一性和随机性的算法(例如MD5算法)生成的,SessionID随机性使得怀有恶意的用户不能使用新的 SessionID 来计算现有会话的 SessionID。
在默认状态下,SessionID是保存在客户端的会话Cookie中的,假如客户端禁用了Cookie,通过设置Web.config文件中的<sessionState>节点的属性cookieless="true",你可以使得SessionID附在URL中。此时,在你的Session有效期内,假如你将你的SessionID(从URL中获得)告诉你的朋友,他就可以使用你的SessionID从其它机器访问同一个Web应用,他将和你同用一个的Session内容。这个情况说明了实现SessionID的唯一性和随机性的原因所在。
SessionID由客户端加以维护,保存在会话Cookie中或URL中。会话状态则由服务端维护,ASP.NET 中有三种会话状态的存储模式。您可以在进程内、状态服务器(StateServer)和 SQL Server 之间选择。具体设置可以参考如下MSDN。
Session是面向用户的,它不能跨 Web 应用程序边界。所谓的在本地自建相同Session就可以访问其他Web站点的说法是无稽之谈。从应用的角度来看,Session是安全的,且无法伪造。但是这并不是说,使用Session的Web站点是绝对安全的!最后,值得指出的是,黑客攻击中的会话劫持不是劫持Web应用中的Session,而是指网络应用连接,例如HTTP会话、Telnet会话等。
Cookie是存放在本地的,而且不是加密存放的,所以,不要将重要的信息例如信用卡、密码等资料存放在Cookie中。
请切换到Protected.aspx的代码窗口查看Protected.aspx.cs文件,在Page_Load中输入访问控制代码,完成后的代码如下:
private void Page_Load(object sender, System.EventArgs e)
{
// 在此处放置用户代码以初始化页面
/* 页面的访问控制代码 */
string username = (string)Session["UserName"];
if(username==null)//Session中为空
{
System.Web.HttpCookie cookie= Request.Cookies["UserInfo"];
if(cookie!=null)//Cookie不为空
{
username=cookie["UserName"];
int AccessCount=int.Parse(cookie["AccessCount"]) + 1;
cookie["AccessCount"]=AccessCount.ToString();
cookie.Expires = DateTime.Now.AddDays(30);
Response.Cookies.Add(cookie);
//填入Session信息
Session["UserName"] = username;
Session["AccessCount"] = AccessCount;
}
else//Cookie为空
Response.Redirect("SignIn.aspx",true);
}
Response.Write("Welcome " + (string)Session["UserName"] + "<BR>");
Response.Write("You have visited for " + Session["AccessCount"].ToString() + " times" + "<BR>");
//下面的语句使用了Request.QueryString属性取得附在URL中的参数
Response.Write("QueryString Message=" + Request.QueryString["Message"]);
}
页面的Page_Load事件在每次页面Postback回服务端后均会触发,值得注意的是,其Page_Load触发时间要先于服务器控件事件(例如按钮的单击事件)。请看下面有关ASP.NET页面的生命周期的简要叙述如下,详情请参见MSDN网站:
1、Initialization-页面初始化(初始化页面及其控件);
2、Load View State-载入视图状态(载入视图状态到页面,视图状态存储了上次访问后页面的状态信息,该事件仅在页面Postback后触发);
3、Load Postback Data-载入返回数据(载入控件被修改的属性信息并予以更新,该事件也仅在页面Postback后触发);
4、Load-载入(即Page_Load事件,该事件发生表示页面已经恢复到上次访问时的状态);
5、Raise Postback Event(那些属性值发生了改变的服务器控件将触发Postback事件,注意,该阶段并未使用视图状态的信息,该事件也仅在页面Postback后触发)
6、Save View State(保存页面的视图状态信息)、
7、Render(产生最终显示给客户端的HTML代码)。
在这里,我们在Protected.aspx页面的Page_Load事件处理函数添加了页面的访问控制代码,其先检查Session,假如Session中找不到授权信息(这里是Session[“UserName”]不为空),再试图从获取客户端的Cookie信息来判断是否用户已经登入过。
最后,简单提一下删除Cookie和清除Session的代码,你可以在Protected.aspx页面上添加一个按钮,然后将它添加到这个按钮的Click事件中,就可以实现注销功能:
System.Web.HttpCookie cookie= Request.Cookies["UserInfo"];
if(cookie!=null)//Cookie不为空
{
cookie.Expires = DateTime.Now.AddDays(-1);
Response.Cookies.Add(cookie);
}
//清空Session信息
Session.Clear();
Session.Abandon();
(3)测试
在VS.NET中选择生成->生成解决方案。然后在浏览器地址栏中输入:
http://localhost/WebApplication1/Protected.aspx
页面自动定向到SignIn.aspx,输入asp、net后可以访问受保护的Protected.aspx页面,关闭浏览器后重新打开,然后再输入上述的地址可以访问Protected.aspx,这是读取了Cookie信息的缘故。
4、小结。
本文通过操作Request、Response、Session、Cookie这几个对象实现了简单的Web页面访问控制,目的是希望借此说明:ASP.NET的工作方式、Session安全性、ASP页面的生命周期和几个常用对象的使用,为初学者澄清一些问题,提供一个入门的参考。
最后需要强调的是,使用ASP.NET做开发要注意充分可以利用整个.Net平台的全部功能,比如ADO.NET在ASP.NET开发使用和在WinForm中并无任何差别。
作者联系:jckchj@163.com