.aspxauth_auth rbac_aspx是什么文件(3)

3. GenericPrincipal. Identity 属性是一个FormsIdentity类型的对象，这个对象有个Name属性，就是此用户的标示，访问授权就是将此属性做为user来进行授权验证的。FormsIdentity还有一个属性，就是Ticket属性，此属性是身份验证票FormsAuthenticationTicket类型，就是之前服务器写到客户端的身份验证票。

服务器在获取到身份验证票FormsAuthenticationTicket对象后，查看这个身份验证票是不是非持久的身份验证，是的话要根据web.config中timeout属性设置的有效期来更新这个身份验证票的cookie（为避免危及性能，在经过了超过一半的指定时间后更新该 Cookie。这可能导致精确性上的损失。持久性 Cookie 不超时。）

4. 在HttpApplication.ResolveRequestCache事件之前，asp.net开始取得用户请求的页面，建立HttpHandler控制点。这就意味着，在HttpApplication.ResolveRequestCache事件要对用户访问权限就行验证，看此用户或角色是否有权限访问这个页面，之后在这个请求的生命周期内再改变此用户的身份或角色就没有意义了。

以上是Forms验证的，可以看出，这个Forms验证是基于用户的，没有为角色的验证提供直接支持。身份验证票FormsAuthenticationTicket 中的Name属性是用户标示，其实还有一个属性UserData，这个属性可以由应用程序来写入自定义的一些数据，我们可以利用这个字段来存放role的信息，从而达到基于角色验证的目的。

Forms身份验证基于角色的授权

一 身份验证

在web.config的<authentication>的设置还是一样：

/login.aspx验证用户合法性页面中，在验证了用户的合法性后，还要有个取得此用户属于哪些role的过程，这个看各个应用的本身如何设计的了，一般是在中会有个use_role表，可以从中获得此用户属于哪些role，在此不深究如何去获取用户对应的role，最后肯定能够获得的此用户对应的所有的role用逗号分割的一个字符串。

在上面的非基于角色的方法中，我们用了FormsAuthentication.RedirectFromLoginPage 方法来完成生成身份验证票,写回客户端,浏览器重定向等一系列的动作。这个方用一些确省的设置来完成一系列的动作，在基于角色的验证中我们不能用这一个方法来实现，要分步的做，以便将一些定制的设置加进来：

1. 首先要根据用户标示，和用户属于的角色的字符串来创建身份验证票

2. 生成身份验证票的Cookie

2.1 将身份验证票加密序列化成一个字符串

2.2 生成cookie

若身份验证票中的isPersistent属性设置为持久类,则这个cookie的Expires属性一定要设置,这样这个cookie才会被做为持久cookie保存到客户端的cookie文件中.

3. 将身份验证票Cookie输出到客户端

通过

将身份验证票Cookie附加到输出的cookie集合中,发送到客户端.

4. 重定向到用户申请的初试页面.

验证部分代码(这部分代码是在login.aspx页面上点击了登录按钮事件处理代码):

二 基于角色访问授权

这里我们要做的是,将客户端保存的身份验证票中UserData中保存的表示角色的信息恢复到在服务端表示用户身份的GenericPrincipal对象中(记住,原来的验证过程中, GenericPrincipal对象只包含了用户信息,没有包含role信息)

一个Http请求的过程中,HttpApplication.AuthenticateRequest事件表示安全模块已建立用户标识，就是此用户的身份在web端已经建立起来, 在这个事件之后我们就可以获取用户身份信息了.

在HttpApplication.ResolveRequestCache事件之前，asp.net开始取得用户请求的页面，建立HttpHandler控制点,这时就已经要验证用户的权限了,所以恢复用户角色的工作只能在HttpApplication.AuthenticateRequest事件和HttpApplication.ResolveRequestCache事件之间的过程中做.

我们选择Application_AuthorizeRequest事件中做这个工作,可以在global.asax文件中处理HttpApplication的所有的事件,代码如下:

访问者同时具有了user和role信息,就可以据此在web.config中用role来控制用户的访问权限了.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-51661-3.html