ASP.NET 2.0站点登录、导航与权限管理

　　asp.net 2.0中，为了更方便创建和管理用户，以及对 web 应用程序中的页进行密码保护，引进了新的框架membership。新的框架包含用于处理身份验证和授权的新增功能，能够同时满足 web 站点管理员和开发人员的需要。web 站点管理员可以利用新的 web 站点管理工具来创建新的用户和角色，以及控制对 web 应用程序中页面的访问。web 站点管理工具是一组预先编写的 asp.net页，不具备编程技巧的用户可以使用它们来配置 web 应用程序。利用membership api,编程人员可以很方便地使用拖拉控件的方法，再加以少量的代码，就可以完全实现对用户，角色权限等的管理，还可以自定义做扩充。

　　1.建立网站项目

　　2.asp.net配置     

　　安全设置选项被分为三部分：用户，角色和规则。

　　登录的身份验证可以配置为基于forms和windows的。

　　3.使用登录控件

　　说明:用户登录后,显示“退出”的提示，通过loginstatus控件来实现。在控件的属性中，有logoutaction和logoutpageurl两个属性，可以来设定注销时是仅仅刷新当前页面、转向到某个页面或者转向到登录页面。

　　（一）登陆

　　如何设定loginpageurl（登录的页面），运行程序时，当按这个控件的显示的login链接时，总是转到根文件夹下的login.aspx，而实际的登录文件在/login/login.aspx 。如何解决？

　　查了下资料，原来登录的url是在web.config中设置的。如果是用form验证登录，缺省的web.config是这样写的：

<system.web>
   <authentication mode="forms" />
</system.web>

　　需要修改成如下的样子：

<system.web>
   <authentication mode="forms">
   <forms loginurl="~/member/login.aspx"></forms>
 </authentication>
</system.web>

　　（二）站点导航

　　1.三种导航控件

   menu:使用一菜单显示站点的结构。

　　treeview：用一个可展开的树显示站点的结构

　　sitemappath:用于显示终端用户处于相对于站点结构的具体位置

　　2.web.sitemap  导航xml文件

<?xml version="1.0" encoding="utf-8" ?>
<sitemap xmlns="http://schemas.microsoft.com/aspnet/sitemap-file-1.0" >
  <sitemapnode title="首页" url="sitemaptest.aspx" >
    <sitemapnode title="产品" roles="*">
      <sitemapnode title="windows" url="sitemaptest.aspx?id=windows" />
      <sitemapnode title="office" url="sitemaptest.aspx?id=office" />
      <sitemapnode title="mobile devices" url="sitemaptest.aspx?id=mobile" />
      <sitemapnode title="business solutions" url="sitemaptest.aspx?id=business" />
      <sitemapnode title="servers" url="sitemaptest.aspx?id=servers" />
      <sitemapnode title="developer tools" url="sitemaptest.aspx?id=tools" />
      <sitemapnode title="games and xbox" url="sitemaptest.aspx?id=games" />
      <sitemapnode title="all products" url="sitemaptest.aspx?id=all" />
    </sitemapnode>
    <sitemapnode title="资源" roles="*">
      <sitemapnode title="支持" roles="*">
        <sitemapnode title="修改密码" url="~/login/changepassword.aspx" />
        <sitemapnode title="knowledge base" url="sitemaptest.aspx?id=knowledge" />
      </sitemapnode>
      <sitemapnode title="downloads" url="sitemaptest.aspx?id=downloads" />
      <sitemapnode title="windows update" url="sitemaptest.aspx?id=windowsupdate" />
      <sitemapnode title="office update" url="sitemaptest.aspx?id=officeupdate" />
      <sitemapnode title="learning tools">
        <sitemapnode title="training &amp; certification" url="sitemaptest.aspx?id=training" />
        <sitemapnode title="books" url="sitemaptest.aspx?id=books" />
        <sitemapnode title="events &amp; webcasts" url="sitemaptest.aspx?id=events" />
        <sitemapnode title="patterns &amp; practices" url="sitemaptest.aspx?id=patterns" />
      </sitemapnode>
      <sitemapnode title="community" url="sitemaptest.aspx?id=community" />
      <sitemapnode title="security" url="sitemaptest.aspx?id=security" />
    </sitemapnode>
    <sitemapnode title="rss" roles="*">
      <sitemapnode title="公司关系" url="sitemaptest.aspx?id=relations"  />
      <sitemapnode title="rsssite" url="~/rss/rsssite.aspx" />
      <sitemapnode title="careers" url="sitemaptest.aspx?id=careers" />
      <sitemapnode title="about this site" url="sitemaptest.aspx?id=about" />
    </sitemapnode>
  </sitemapnode>
</sitemap>

　　web.sitemap文件必须包含根结点sitemap。一张站点地图由一系列相联系的sitemapnode对象组成。这些sitemapnode以一种层次方式联系在一起。该层次包含单个根结点-它是该层中唯一的一个没有父结点的结点，代表首页。在该父sitemapnode结点下，可以有若干个子sitemapnode结点，分别按层次结构代表了网站的各子栏目(留意一下上例中，各个子结点之间的包含关系)。

　　3. 数据源sitemapdatasource控件

　　sitemapdatasource会自动查找项目中名为web.sitemap的 一个xml文件

　　（三）权限管理

　　网站在安全性方面有一个常见的要求：特定的页面仅允许某些成员或其他经过身份验证的用户浏览。asp.net 的角色管理提供了一种方法，可以基于安全角色限制对 web 文件的访问。站点地图安全性调整提供了一种同样基于安全角色的方法来隐藏站点地图中的导航链接。

　　1. asp.net 网站配置

　　1）提供程序

    可使用 sql server 2005(默认)，2000和access数据库存储用户信息。若要使用 sql server 2000数据库存储信息：

　　a.用sql server的企业管理器，创建一个数据库，如为zyh;

　　b.用aspnet_regsql（c:/windows/microsoft.net/framework/v2.0.50215/aspnet_regsql.exe)创建数据库。除在创建向导的第3步数据库下拉框选择“zyh”以外，其余各步骤皆使用默认设置。这样，在sql server 2000中会创建一个含有用户表和存贮过程的完整数据库。

　　c.在管理工具中打开iis，找到虚拟目录newtest，用鼠标右键点击，然后左键点菜单项【属性】、【asp.net】标签、【编辑配置】按钮，在【常规】标签的【连接字符串管理器】中，点名称【localsqlserver】，点【编辑】按钮，把【连接参数】修改为相应能够连接到数据库zyh的数据库连接字符串，如“data source=.;initial catalog=zyh;persist security info=true;user id=sa;password=12345”,此后，一直点【确定】按钮，最后到iis管理工具界面即可。

　　d.最后返回网站管理工具web页面，点击安全主题，就会出现“使用安全设置向导按部就班地配置安全性。”链接和其它相关链接。

　　2）安全设置选项被分为三部分：用户，角色和规则。

    其中规则建立了角色对项目中文件夹的访问权限。

　　3)应用程序配置

　　可设置smtp服务器 以供用户通过email找回密码。

　　2. 建立登录页面

　　3.在web.config文件中启用角色管理

<system.web>
    <sitemap defaultprovider="xmlsitemapprovider" enabled="true">
      <providers>
        <add name="xmlsitemapprovider"
          description="default sitemap provider."
          type="system.web.xmlsitemapprovider "
          sitemapfile="web.sitemap"
          securitytrimmingenabled="true" />
      </providers>
    </sitemap>

    <rolemanager enabled="true" />
   
    <authentication mode="forms">
      <forms loginurl="~/login/login.aspx"></forms>
    </authentication>
   
    <compilation debug="true">
      <assemblies>
        <add assembly="system.data.oracleclient, version=2.0.0.0, culture=neutral, publickeytoken=b77a5c561934e089"/>
      </assemblies>
    </compilation>
  </system.web>
  <system.net>
    <mailsettings>
      <smtp from="[email protected]">
        <network host="smtp.163.com" password="passwordmodify" username="wangyihust" />
      </smtp>
    </mailsettings>
  </system.net>

　　4.在web.sitemap 文件中 加入角色权限，以显示或隐藏相关页面

 <sitemapnode title="rss" roles="*">
      <sitemapnode title="公司关系" url="sitemaptest.aspx?id=relations"  />
      <sitemapnode title="rsssite" url="~/rss/rsssite.aspx" />
      <sitemapnode title="careers" url="sitemaptest.aspx?id=careers" />
      <sitemapnode title="about this site" url="sitemaptest.aspx?id=about" />
    </sitemapnode>

　　其中，roles="*"表示所有人都可以看到下面的页面，但是我们在规则中可以拒绝某些 角色的用户看到下面的相关页面（通过目录权限控制）