分享
 
 
 

ASP.NET中的页面访问控制

王朝c#·作者佚名  2006-12-17
窄屏简体版  字體: |||超大  

1、简介ASP.NET 是建立微软.Net平台上的WEB编程框架,可用于在服务器上生成功能强大、结构清晰的 Web 应用程序。有必要指出的是,由于 ASP.NET 基于.Net公共语言运行库,因此在ASP.NET中可以利用整个.Net平台的全部功能。

本文通过对ASP.NET开发中的页面访问控制问题的描述,涉及到了Request、Response、Session、Cookie这几个对象,并对ASP.NET的工作方式、Session安全性、ASP页面的生命周期做了较为详细的分析,以期提供一个ASP.NET开发快速入门的参考。

2、环境介绍及预备知识:(1)、Windows XP Professional(Windows 2000、Windows 2003)+IIS

(2)、.Net Framework SDK 1.1(VS.Net 2003中自带)

(3)、Visual Studio.Net 2003

请根据指南正确对IIS、VS.Net2003的加以安装。使用Windows2003的用户:在VS.Net 2003安装好以后,请确认IIS 中的ASP.NET Web服务扩展是允许的,否则,您将无法使用ASP.NET。

本文假设您能使用C#在.Net平台上做简单的WinForm开发,并了解一定的HTML知识。

3、正文:(1)、创建项目启动VS.NET 2003,选择菜单命令新建->项目,弹出新建项目对话框,新建一个ASP.NET项目,本文里使用的项目位置为http://localhost/WebApplication1。

单击确认,IDE将创建项目。在解决方案管理器中,我们可以发现IDE自动为我们添加了一个名位WebForm1.aspx的页面,请删掉它,然后为我们的项目添加两个ASP.NET页面,名称分别为SignIn.aspx、Protected.aspx。

查看SignIn.aspx的HTML代码,在第一行你可以发现:

<%@ Page language="c#" Codebehind="SignIn.aspx.cs" AutoEventWireup="false" Inherits="WebApplication1.SignIn" %>

很有必要介绍一下Codebehind属性和Inherits属性。ASP.NET较之ASP一个最大的进步,就是实现了Web开发中HTML 代码(负责呈现用户界面)和程序代码(负责实现业务逻辑)的分离。

ASP.NET页面在运行时,首先时被解释加以编译成为一个类,这个类继承了Inherits属性指定的预先编译在程序集中的类,然后ASP.NET页面编译后生成的类被启动来处理请求(注意:继承的方式在ASP.NET2.0中已被取消,在2.0版本中,页面连同程序代码编译成同一类)。

有了上面的叙述,我们可以知道Codebehind属性指示了ASP.NET页面所要继承父类的代码文件(提示:在ASPX页面中添加了WEB控件后,然后打开页面对应的代码文件,查看父类代码发生了那些变化,你将了解上述的ASP.NET页面执行模式)。

(2)、完成代码查看SignIn.aspx的HTML代码,在<FONT face="宋体">和</FONT>中插入如下非常常见的HTML代码:

用户名:<input name="username" type="text" size="16"><BR>

密码:<input name="password" type="password" size="16"><BR>

<input type="submit" name="Submit" value="登入">&nbsp;&nbsp;

<input type="reset" name="Reset" value="重填">

然后切换到SigIn.aspx页面的设计视图,如下所示:

在登入按钮上单击鼠标右键,选择“作为服务器控件运行”,我们可以发现,登入按钮的左上角多了一个带边框的绿色小三角,如此将两个文本框也转换为服务器控件。

在ASP.NET中,服务器控件具有在服务器上可见并可编程的属性。在上述操作中,我们通过将 HTML 元素转换为 HTML 服务器控件,将其公开为可在服务器上编程的元素,这使得我们可以使用类似WinForm编程的方法来使用它们(提示:原有的HTML设计代码可以按同样的方法非常方便的重用到ASPX页面中)。

双击登入按钮,窗口切换到代码文件SignIn.aspx.cs,你可以发现,IDE已经自动添加了该按钮的事件处理函数,在该函数里填入我们的程序代码,如下:

private void Submit1_ServerClick(object sender, System.EventArgs e)

{

if(Text1.Value=="asp"&&Password1.Value=="net")

{

//填入Session,用作权限控制

Session["USERNAME"]="asp";

Session["AccessCount"] = 1;

//创建Cookie

System.Web.HttpCookie cookie=new HttpCookie("UserInfo");

cookie["UserName"] = "asp";

cookie["AccessCount"] = "1";

cookie.Expires = DateTime.Now.AddDays(30);

Response.Cookies.Add(cookie);

//重定向到受保护页面

Response.Redirect("Protected.aspx?Message=Parameter In Url");

}

}

上述程序代码非常简单,参看注释可以快速理解。这里值得提一下的是Session的安全性和Cookie的安全性问题。

我们知道,HTTP是无状态的,但是Web 应用必须提供对某些跨请求状态信息的维持,最常见的例子就是Web购物站点的购物车,因此所有的Web编程环境均提供了会话(Session)支持。在ASP.NET中,会话都是使用 120 位的 SessionID 字符串进行标识和跟踪的,SessionID 值是使用保证唯一性和随机性的算法(例如MD5算法)生成的,SessionID随机性使得怀有恶意的用户不能使用新的 SessionID 来计算现有会话的 SessionID。

在默认状态下,SessionID是保存在客户端的会话Cookie中的,假如客户端禁用了Cookie,通过设置Web.config文件中的<sessionState>节点的属性cookieless="true",你可以使得SessionID附在URL中。此时,在你的Session有效期内,假如你将你的SessionID(从URL中获得)告诉你的朋友,他就可以使用你的SessionID从其它机器访问同一个Web应用,他将和你同用一个的Session内容。这个情况说明了实现SessionID的唯一性和随机性的原因所在。

SessionID由客户端加以维护,保存在会话Cookie中或URL中。会话状态则由服务端维护,ASP.NET 中有三种会话状态的存储模式。您可以在进程内、状态服务器(StateServer)和 SQL Server 之间选择。具体设置可以参考如下MSDN。

Session是面向用户的,它不能跨 Web 应用程序边界。所谓的在本地自建相同Session就可以访问其他Web站点的说法是无稽之谈。从应用的角度来看,Session是安全的,且无法伪造。但是这并不是说,使用Session的Web站点是绝对安全的!最后,值得指出的是,黑客攻击中的会话劫持不是劫持Web应用中的Session,而是指网络应用连接,例如HTTP会话、Telnet会话等。

Cookie是存放在本地的,而且不是加密存放的,所以,不要将重要的信息例如信用卡、密码等资料存放在Cookie中。

请切换到Protected.aspx的代码窗口查看Protected.aspx.cs文件,在Page_Load中输入访问控制代码,完成后的代码如下:

private void Page_Load(object sender, System.EventArgs e)

{

// 在此处放置用户代码以初始化页面

/* 页面的访问控制代码 */

string username = (string)Session["UserName"];

if(username==null)//Session中为空

{

System.Web.HttpCookie cookie= Request.Cookies["UserInfo"];

if(cookie!=null)//Cookie不为空

{

username=cookie["UserName"];

int AccessCount=int.Parse(cookie["AccessCount"]) + 1;

cookie["AccessCount"]=AccessCount.ToString();

cookie.Expires = DateTime.Now.AddDays(30);

Response.Cookies.Add(cookie);

//填入Session信息

Session["UserName"] = username;

Session["AccessCount"] = AccessCount;

}

else//Cookie为空

Response.Redirect("SignIn.aspx",true);

}

Response.Write("Welcome " + (string)Session["UserName"] + "<BR>");

Response.Write("You have visited for " + Session["AccessCount"].ToString() + " times" + "<BR>");

//下面的语句使用了Request.QueryString属性取得附在URL中的参数

Response.Write("QueryString Message=" + Request.QueryString["Message"]);

}

页面的Page_Load事件在每次页面Postback回服务端后均会触发,值得注意的是,其Page_Load触发时间要先于服务器控件事件(例如按钮的单击事件)。请看下面有关ASP.NET页面的生命周期的简要叙述如下,详情请参见MSDN网站:

1、Initialization-页面初始化(初始化页面及其控件);

2、Load View State-载入视图状态(载入视图状态到页面,视图状态存储了上次访问后页面的状态信息,该事件仅在页面Postback后触发);

3、Load Postback Data-载入返回数据(载入控件被修改的属性信息并予以更新,该事件也仅在页面Postback后触发);

4、Load-载入(即Page_Load事件,该事件发生表示页面已经恢复到上次访问时的状态);

5、Raise Postback Event(那些属性值发生了改变的服务器控件将触发Postback事件,注意,该阶段并未使用视图状态的信息,该事件也仅在页面Postback后触发)

6、Save View State(保存页面的视图状态信息)、

7、Render(产生最终显示给客户端的HTML代码)。

在这里,我们在Protected.aspx页面的Page_Load事件处理函数添加了页面的访问控制代码,其先检查Session,假如Session中找不到授权信息(这里是Session[“UserName”]不为空),再试图从获取客户端的Cookie信息来判断是否用户已经登入过。

最后,简单提一下删除Cookie和清除Session的代码,你可以在Protected.aspx页面上添加一个按钮,然后将它添加到这个按钮的Click事件中,就可以实现注销功能:

System.Web.HttpCookie cookie= Request.Cookies["UserInfo"];

if(cookie!=null)//Cookie不为空

{

cookie.Expires = DateTime.Now.AddDays(-1);

Response.Cookies.Add(cookie);

}

//清空Session信息

Session.Clear();

Session.Abandon();

(3)测试在VS.NET中选择生成->生成解决方案。然后在浏览器地址栏中输入:

http://localhost/WebApplication1/Protected.aspx

页面自动定向到SignIn.aspx,输入asp、net后可以访问受保护的Protected.aspx页面,关闭浏览器后重新打开,然后再输入上述的地址可以访问Protected.aspx,这是读取了Cookie信息的缘故。

4、小结。本文通过操作Request、Response、Session、Cookie这几个对象实现了简单的Web页面访问控制,目的是希望借此说明:ASP.NET的工作方式、Session安全性、ASP页面的生命周期和几个常用对象的使用,为初学者澄清一些问题,提供一个入门的参考。

最后需要强调的是,使用ASP.NET做开发要注意充分可以利用整个.Net平台的全部功能,比如ADO.NET在ASP.NET开发使用和在WinForm中并无任何差别。

作者联系:jckchj@163.com

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有