IDC资讯中心
asp.net 2.0出来以后,一直想用一下2.0的membership,这个封装的很好的网站权限管理工具。我采用的是sqlprovider,用aspnet_regsql产生了所需要的表,并且配置了web.config,但是在实际使用中却遇到了不少的问题,包括登录以后通过membership.getuser()来获取当前登录的用户,结果代码返回给我的是null…..包括在webconfig中的认证和授权的设置,似乎也全然不起效果,经过一番搜索,还是无法解决这个问题,于是没办法,只能利用membership,但是却自己实现整个认证授权的过程。
因为login控件不起作用,所以就自己写了一个login.aspx的页面,这个页面通过membership.validateuser()函数对用户的登录进行判断,用户成功登录以后,将用户的username保存到session中。
自己实现了一个xml序列化的可配置的对象,大致如一下的结构
<?xml version=”1.0″?>
<securityconfig xmlns:xsi=”http://www.w3.org/2001/xmlschema-instance” xmlns:xsd=”http://www.w3.org/2001/xmlschema”>
<pagelocations>
<pagelocation location=”~/admin/admin/rolemanager.aspx”>
<allow roles=”administrator” />
</pagelocation>
</pagelocations>
</securityconfig>
pagelocations是一个pagelocation的list对象集合,pagelocation中location包含了所要加入权限的页面。pagelocation中的包含一个allow对象,其中有一个属性是roles,包含页面可授权的用户角色,可以用逗号分割,这样把所有的页面加入到这个xml结构中。
然后实现如下的一个函数:
/// <summary>
/// 是否允许访问该页
/// </summary>
/// <param name=”url”>授权的路径</param>
/// <param name=”rolenames”>授权角色</param>
/// <returns>是否获得授权</returns>
public bool isallow(uri url,string[] rolenames,httpcontext context)
{
string path=context.server.mappath(url.absolutepath);
pagelocation thelocation = null;
foreach (pagelocation location in pagelocations)
{
string strlocation;
strlocation=context.server.mappath(location.location);
if (strlocation.tolower() == path.tolower())
{
thelocation = location;
}
}
if (thelocation != null)
{
string[] roles = thelocation.allow.roles.split(,);
foreach (string role in roles)
{
foreach (string rolename in rolenames)
{
if (rolename == role)
{
return true;
}
}
}
return false;
}
else
{
return false;
}
}
通过对当前访问页面的绝得路径和xml中的绝得路径进行比较,然后取得xml中描述的pagelocation对象,从而判断他allow的role是不是和当前的用户的role是不是匹配,从而来实现角色的安全授权。
由于我这个管理是用在一个后台的安全管理上面,所以写了一个用户控件来封装这个securityconfig 类,通过context.session[]来取得登录的用户账号,然后通过roles.getrolesforuser(username)来取得登录用户的角色,然后将context.request.url和roles一起传入到刚才的函数中,如果用户获得授权就展示当前页面,不然就跳转到自己得登录页面或者提示你无此权限。
由于我使用了masterpage,所以对于这种情况我只要把这个控件绑定到masterpage上,这样每个页面就都在管理中了,并且在后台写一个对这个securityconfig 对象得编辑和序列化得页面,就实现了对所有页面得权限控制。
对于采用这种方式,也是在玩不灵membership时候得一个下策,这样即利用了membership提供得关于用户得如createuser,createroles这些基本功能,又满足了对权限设置得需要,现在也只能这么处理了。
第一次在首页投稿,另外希望哪位朋友能告诉我什么情况下.net得授权会不灵。
http://www.cnblogs.com/livesite/archive/2006/08/14/membership.html
