ASP.NET中的HTTP模块和处理程序

来源：互联网 作者：west263.com 时间：2008-02-22

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! P4主机租用799元/月.月付免压金!

　　　13. string[] strRoles ;
　　　14. strRoles = AuthenticateAndGetRoles(userid, password) ;
　　　15. if ((strRoles == null) || (strRoles.GetLength(0) == 0))
　　　16. {
　　　17.　 objContext.Response.Write("＜H1＞We are sorry but we could not
find this user id and password in our database＜/H1＞") ;
　　　18.　 objApp.CompleteRequest() ;
　　　19. }

　　　20. GenericIdentity objIdentity = new GenericIdentity(userid,
"CustomAuthentication") ;
　　　21. objContext.User = new GenericPrincipal(objIdentity, strRoles) ;
　　}

　　private string[] AuthenticateAndGetRoles(string r_strUserID,string r_strPassword)
　　{
　　　string[] strRoles = null ;
　　　if ((r_strUserID.Equals("Steve")) && (r_strPassword.Equals("15seconds")))
　　　{
　　　　strRoles = new String[1] ;
　　　　strRoles[0] = "Administrator" ;
　　　}
　　　else if ((r_strUserID.Equals("Mansoor")) && (r_strPassword.Equals("mas")))
　　　{
　　　　strRoles = new string[1] ;
　　　　strRoles[0] = "User" ;
　　　}
　　　return strRoles ;
　　}
　}
}
　　我们研究一下上面的代码。

　　我们是从Init函数开始的。这个函数把处理程序的AuthenticateRequest事件插入Application（应用程序）对象的事件处理程序列表中。这将导致引发AuthenticationRequest事件的时候Application调用该方法。

　　我们的HTTP模块初始化之后，我们就可以调用它的AuthenticateRequest方法来鉴别客户端请求。AuthenticateRequest方法是该安全/身份认证机制的核心。在这个函数中：

　　1和2行提取HttpApplication和HttpContext对象。3到7行检测是否没有给我们提供了用户id或密码。如果没有提供，就显示错误信息，请求处理过程终止。

　　9到12行从HttpRequest对象中提取用户id和密码。

　　14行调用一个叫做AuthenticateAndGetRoles的辅助（helper）函数。这个函数主要执行身份验证并决定用户角色。上面的代码采用了硬编码（hard-coded），只允许两个用户使用，但是我们可以扩展这个方法，并添加代码与用户数据库交互操作并检索用户的角色。

　　16到19行检测是否有角色与用户关联。如果没有就意味着传递给我们的凭证没有通过验证；因此该凭证是无效的。因此，给客户端发送一个错误信息，并且请求结束了。

　　20和21行非常重要，因为这两行实际上告诉ASP.NET HTTP运行时已登录用户的身份。这两行成功执行以后，我们的aspx页面就能够使用User对象访问这些信息了。

　　现在我们看一看这种身份验证机制的运行情况。目前我们只允许下面两个用户登录到系统：

　　· User id = Steve, Password = 15seconds, Role = Administrator
　　· User id = Mansoor, Password = mas, Role = User

　　注意用户id和密码是大小写敏感的（区分大小写）。

　　首先试图不提供凭证登录系统，在IE中输入http://localhost/webapp2/index.aspx将看到下面的消息：

　　现在试图使用用户id“Steve”和密码“15seconds”登录系统。输入 http://localhost/webapp2/index.aspx?userid=Steve&password=15seconds你将看到下面的欢迎消息：

　　现在试图使用用户id“Mansoor”和秘码“mas”登录系统。输入http://localhost/webapp2/index.aspx?userid=Mansoor&password=mas你将看到下面的欢迎消息页面：

　　现在试图使用错误的用户id和密码组合来登录系统。输入http://localhost/webapp2/index.aspx?userid=Mansoor&password=xyz你将看到下面的错误消息：

　　这表明我们的安全模块在起作用了。你可以通过在AuthenticateAndGetRoles方法中使用数据库访问代码来扩展该安全模块。

　　要使所有的部分都起作用，我们必须对web.config文件进行一些修改。首先，由于我们要使用自己的身份验证，因此不需要其它的身份验证机制。为了达到这个目的，改变webapp2的web.config文件中的＜authentication＞节点，如下所示：

＜authentication mode="None"/＞

　　类似地，不允许匿名用户访问我们的Web站点。给web.config文件添加下面的语句：

＜authorization＞
　＜deny users="?"/＞
＜/authorization＞

　　用于至少能够匿名访问用于提供凭证的文件。在web.config文件中使用下面的配置设置信息把index.aspx作为唯一能够匿名访问的文件：

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!

[打印] [关闭]

相关文章

ASP.NET 2.0 WebService中传递Da

.NET正则表达式使用高级技巧之组

创建不了XMLHTTP控件

用VB6.0设计一个打字练习软件

上一篇：不走寻常路设计ASP.NET应用程序的七大绝招
下一篇：ASP.NET XML Web服务客户端创建Web服务

热点关注

IDC资讯虚拟主机域名注册托管租用 vps主机智能建站
网站运营建站经验策划盈利搜索优化网站推广免费资源
网站联盟联盟新闻联盟介绍联盟点评网赚技巧
行业资讯业界动态搜索引擎网络游戏门户动态电子商务广告传媒
网络编程 Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术 Web服务器 Ftp服务器 Mail服务器 Dns服务器安全防护
软件技巧其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷 Internet Explorer
网页制作 FrontPages Dreamweaver Javascript css photoshop fireworks Flash
程序设计 Java技术 C/C++ VB delphi
网络知识网络协议网络安全网络管理组网方案 Cisco技术
操作系统 Win2000 WinXP Win2003 Mac OS Linux FreeBSD

版权所有西部数码(www.west263.com)
CopyRight (c) 2002~2007 west263.com all right reserved.
公司地址：四川成都市万和路90号天象大厦4楼　邮编：610031
电话总机：028-86263408 86263960 86264018 86267838 86262244 86263408
售前咨询：总机转201 202 203 204 205 206 207 208
售后服务：总机转211 212 213 214 217 218 晚上0点以后拔分机225