站点导航的安全性
站点导航特性可以根据授权规则过虑提供程序所返回的sitemapnode实例。xmlsitemapprovider可以根据当前网站使用的文件和url授权规则过虑节点。
下面的例子使用了窗体授权规则,预定义的用户凭证存储在web.config中。在global.asax中,根据用户名,用户的角色都被附加到当前的请求上。在web.config中,嵌套在元素之下的站点地图提供程序使用的元素的securitytrimmingenabled属性被设置为真。同时,web.config文件的末尾定义了一组url授权规则。当你运行示例并登陆之后,xmlsitemapprovider会自动地依据用户所属的角色和web.config中定义的授权规则来对sitemapnode执行授权检测。
请使用下面三个帐户之一运行示例:
· userid: sectionone password: sectionone
· userid: sectiontwo password: sectiontwo
· userid: allsections password: allsections
在页面的右上角有一个"退出"链接,因此你可以用不同的帐号登陆和退出。请注意,根据你登陆所使用的帐号不同,导航ui显示的treeview和menu控件会自动地反映该用户所获得的访问权限。提供程序自动地过虑了返回的节点--实现这种功能不需要额外的代码。用"sectionone"帐号登陆的时候,只在左边的treeview控件中显示"sectionone"链接和外部链接。用"sectiontwo"帐号登陆的时候,只在左边的treeview控件中显示"sectiontwo"链接和外部链接。用"allsections"帐号登陆的时候,treeview控件中显示了所有的链接。web.config中的授权规则配置为给"sectionone"和"sectiontwo"层次授予了部分访问权力。
这个示例还演示了如何处理应用程序目录范围之外的url安全性。在web.sitemap文件中,外部链接的节点使用了roles属性。语法roles="*"授予所有用户访问和查看导航控件中的节点的权力。语法roles="adminstrators,regular users"只允许这些角色的用户检索和查看导航控件中的节点。由于在示例中global.asax文件把用户分成了这两种角色,所以你一直可以看到外部链接。
开发者可以选择同时使用文件/url授权规则和roles属性来控制用户对sitemapnode实例的访问权。如果两者的设置信息都是正确的,站点导航提供程序就会根据文件/url授权规则和roles属性中的角色来对当前用户进行认证。如果当前用户通过了任何一种授权检查,就可以访问节点。
如果默认的安全性操作不适用于你的应用程序,开发者还可以从xmlsitemapprovider衍生类,并用自定义的节点授权实现来重载isaccessibletouser方法。
web.config的内容
以下是引用片段:
<system.web>
<authentication mode="forms">
<forms name=".aspxauth" loginurl="login.aspx" protection="all" timeout="30" path="/" requiressl="false" slidingexpiration="true" defaulturl="home.aspx" cookieless="usecookies" enablecrossappredirects="false">
<credentials passwordformat="clear">
<user name="sectionone" password="sectionone"/>
<user name="sectiontwo" password="sectiontwo"/>
<user name="allsections" password="allsections"/>
</credentials>
</forms>
</authentication>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
<location path="sectionone.aspx">
<system.web>
<authorization>
<allow users="sectionone" roles="administrators" />
<deny users="*"/>
</authorization>
</system.web>
</location>
<location path="sectionone">
<system.web>
<authorization>
<allow users="sectionone" roles="administrators"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
<location path="sectiontwo.aspx">
<system.web>
<authorization>
<allow users="sectiontwo" roles="administrators"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
<location path="sectiontwo">
<system.web>
<authorization>
<allow users="sectiontwo" roles="administrators"/>
<deny users="*"/>
</authorization>
</system.web>
本地化站点地图数据
存储在sitemap文件中的导航数据可能需要进行本地化(localize)。元素中的url、title和description属性也可以本地化。此外,开发者放置在元素中的任何自定义属性也可以本地化。
下面的示例包含了英语和法语的本地化文本。它的web.sitemap文件使用两种类型(隐式的和显式的)的本地化表达式来实现这种功能。sitemap文件在根sitemap元素中使用了enablelocalization=true就表明它使用了本地化数据。
站点地图文件的隐式表达式让开发者能够轻易地用查找键(lookup key)标记每个元素,而查找键是用于从资源文件检索资源的。在示例的web.sitemap中,除了第一个节点之外,所有的节点都有隐式的资源表达式。它的语法类似resourcekey="autos"。当xmlsitemapprovider根据web.sitemap文件中的信息检索sitemapnode的时候,它根据sitemapnode属性的名称、resourcekey和为提供程序配置的sitemapfile属性的值来检索字符串资源。使用示例中的"autos"节点的时候,提供程序(provider)会根据当前的文化来查找以"web.sitemap"开头的资源文件。这意味着,对于一个发送法语头信息的浏览器来说,提供程序会查找名称为web.sitemap.fr.resx的资源文件。在这个资源文件中,提供程序会依据resourcekey + "." + [sitemapnode属性名]来查找资源键。例如,把"autos"节点的title属性当作例子,提供程序会在web.sitemap.fr.resx资源文件中查找键为autos.title的资源。
新闻热点
疑难解答
图片精选
