首页 > 开发 > 综合 > 正文

关于IBuySpy里面用户权限验证方面的东西

2024-07-21 02:15:47
字体:
来源:转载
供稿:网友
asp.net在页面的context.user里面放了一个实现iprincipal的对象,用来实现对已验证用户的管理。asp.net系统中,通常采用的方式就是扩展这个context.user,让它里面保存定制的信息。
  
  
  
  1、扩展方式
  
  扩展方式基本上有两种:直接利用genericprincipal和自己写一个实现iprincipal的类。ibuyspy用的前者,优点就是n简单。
  
  
  
  context.user = new genericprincipal(context.user.identity, roles);
  
  
  
  roles是一个保存了当前用户的角色信息的string,各个角色间用“;”分隔,由前面的代码调用数据层中的userdb.getroles()方法来得到。
  
  
  
  自己写一个实现iprincipal的类其实也是n简单,你只需要实现两个接口:identity属性返回一个iidentity的用户标识对象,isinrole(string role)判断用户是否具有参数中的角色。下面是我写的一个替代ibuyspy中原有扩展模式的类:
  
  
  
  
  
  public class ibsprincipal : iprincipal {
  
  
  
  private iidentity _identity;
  
  private string[] _asrole;
  
  
  
  下面是两个构造函数:
  
  
  
  public ibsprincipal(iidentity identity, string roles) {
  
  _identity = identity;
  
  _asrole = roles.split(';');
  
  }
  
  
  
  public ibsprincipal(iidentity identity, string[] roles) {
  
  _identity = identity;
  
  _asrole = roles;
  
  }
  
  
  
  然后是用来实现iprincipal的一个属性和一个方法:
  
  
  
  public iidentity identity {
  
  get {
  
  return _identity;
  
  }
  
  }
  
  
  
  public bool isinrole(string role) {
  
   // 下面一行幸得“jgtm'2003”告知array有一个static的indexof()
  
   // 原来是用循环查询_asrole....土不可及...
  
   return (system.array.indexof(_asrole, role) > -1);
  
  }
  
  
  
  ok,然后我们就可以用下面这句替代上面ibuyspy原有的那句了:
  
  
  
  context.user = new ibsprincipal(context.user.identity, roles);
  
  
  
  看起来好像自己创建这个ibsprincipal并不划算,它没有提供比genericprincipal更多的功能,但好处是我们以后可以随时扩展它,而且实现的成本也很低。
  
  
  
  2、时机
  
  我们在什么时候进行上面所说的这样的扩展行为呢?
  
  
  
  ibuyspy选择在global.asax里面的application_authenticaterequest事件里面进行这些动作,只要asp.net程序需要进行用户验证,那么肯定要经过这里,这个地方不错。
  
  
  
  另一个好地方就是在“页面基类”的page_init方法中,我们在构造网站的时候就可以先构建一个“页面基类”(即使一开始里面什么都没有),所有的页面都从这个基类继承下来而不是从默认的system.web.ui.page,这样做的好处是我们可以随时把类似的动作放在基类中。可惜ibuyspy本身并没有应用这种“页面基类”的方式。
  
  
  
  3、formsauthenticationticket
  
  这个类是一个“验证票据”类,我们可以利用这个票据来保存用户的信息,并把这个票据写到客户端的cookie里面,以后客户再来时,从cookie中把这个票据取回来,就可以得到用户的信息了。
  
  
  
  上面这一段说的就是ibuyspy做的,但是一定要注意,我们自己做这些操作,和asp.net内置的forms验证没有任何关系,虽然它也是通过类似的保存票据到cookie来实现的。
  
  
  
  用这个票据来写到cookie与我们自定义一个cookie去写相比有什么好处呢,首先可以设定票据的过期时间、决定是否永久在cookie保存票据、票据中可以写入自定义的信息(比如用户所具有的角色),而且,.net内置的formsauthentication.encrypt()方法和formsauthentication.decrypt()方法可以把一个票据加密成一个字符串,和从一个字符串解密出一个票据,这样省掉了我们很多的工作了。
  
  
  
  来看看ibuyspy里面的代码,创建一个票据并写到cookie:
  
  
  
  formsauthenticationticket ticket = new formsauthenticationticket(
  
  1, // version
  
  context.user.identity.name, // user name
  
  datetime.now, // issue time
  
  datetime.now.addhours(1), // expires every hour
  
  false, // don't persist cookie
  
  rolestr // roles
  
  );
  
  
  
  // encrypt the ticket
  
  string cookiestr = formsauthentication.encrypt(ticket);
  
  
  
  // send the cookie to the client
  
  response.cookies["portalroles"].value = cookiestr;
  
  response.cookies["portalroles"].path = "/";
  
  response.cookies["portalroles"].expires = datetime.now.addminutes(1);
  
  
  
  从cookie中读出票据,再从票据中得到用户具有的角色:
  
  
  
  // get roles from roles cookie
  
  formsauthenticationticket ticket = formsauthentication.decrypt(context.request.cookies["portalroles"].value);
  
  
  
  //convert the string representation of the role data into a string array
  
  arraylist userroles = new arraylist();
  
  
  
  foreach (string role in ticket.userdata.split( new char[] {';'} )) {
  
  userroles.add(role);
  
  }
  
  
  
  roles = (string[]) userroles.toarray(typeof(string)); 
  

最大的网站源码资源下载站,

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表