从这一部分开始,我们将通过一个实际的完整示例来看一下如何实现用户注册与登录。在介绍注册与登录之前,我们首先介绍一下如何判断用户是否已登录,并未后面的示例编写一些基础代码。判断用户是否已经登录首先,在Web站点项目中添加一个MasterPage,例如MasterPage.master。在这个母版页的ContentPlaceHolder控件之前、<From>标签之内插入如下代码: 1<asp:PanelID="pnlAnonymous"runat="server">
2<asp:LinkButtonID="btnLogin"runat="server"Text="登录"OnClick="btnLogin_Click"></asp:LinkButton>|
3<asp:HyperLinkID="lnkRegister"runat="server"NavigateUrl="~/register.aspx"Text="注册"></asp:HyperLink>
4</asp:Panel>
5<asp:PanelID="pnlLoggedin"runat="server">
6欢迎您,<asp:LabelID="lblUserName"runat="server"></asp:Label>!
7[<asp:LinkButtonID="btnLogout"runat="server"Text="注销"
8onclick="btnLogout_Click"></asp:LinkButton>]
9</asp:Panel>
10<asp:PanelID="pnlNavigate"runat="server">
11<asp:HyperLinkID="lnkDefault"runat="server"NavigateUrl="~/default.aspx"Text="首页"></asp:HyperLink>|
12<asp:HyperLinkID="lnkTest"runat="server"NavigateUrl="~/test.aspx"Text="测试页"></asp:HyperLink>
13</asp:Panel>
14 这里提供了三个Panel控件——pnlAnonymous、pnlLoggedin和pnlNavigate。pnlAnonymous用于在用户未登录时显示“登录”和“注册”链接;pnlLoggedin用于在用户已登录时显示用户信息(如用户名和到用户个人信息页的链接等,这里仅显示用户名),以及一个“注销”按钮;pnlNavigate在任何时候都显示,是站点的导航栏。 现在我们要实现的是,判断用户是否登录,并显示pnlAnonymous和pnlLoggedin二者之一。这里,如果是使用 2.0 Membership,则可以方便地使用LoginView、LoginName和LoginStatus等控件实现这些功能;然而我们不得不为此忍受Membership所带来的庞大而繁多的数据库对象,或者花更多时间去编写自定义的MembershipPorvider。 这一系列的第一部分曾介绍过,如果用户已经登录,则可以从HttpContext.User.Identity.Name得到已登录用户的标识(通常是用户名)。然而,如果用户未登录,这个值则为空字符串。因此,通过判断该值是否为空字符串,即可的值用户是否已登录。 由此,我们在MasterPage的后台代码中添加Page_Init方法,在页面初始化时判断用户是否登录,并显示对应的Panel控件;此外,在用户已登录时,在pnlLoggedin中的欢迎语里插入已登录用户的用户名。 1protectedvoidPage_Init(objectsender,EventArgse)
2{
3//判断用户是否已登录。
4if(HttpContext.Current.User.Identity.Name=="")
5{
6//用户未登录。
7pnlAnonymous.Visible=true;
8pnlLoggedin.Visible=false;
9}
10else
11{
12//用户已登录。
13pnlAnonymous.Visible=false;
14pnlLoggedin.Visible=true;
15
16lblUserName.Text=HttpContext.Current.User.Identity.Name;
17}
18} 此外,我们还向项目中添加了default.aspx、login.aspx、register.aspx、test.aspx这样四个页面。其中test.aspx用于检验重定向到登录页后的ReturnUrl参数值,和登录后回到之前页面的效果。用户注册用户注册部分并不属于验证的范畴,因此Forms Authentication也没有提供过多的支持。然而用户注册是比较简单的,只需通过一个页面搜集用户信息,并存放到数据库中即可。在这个示例中,为了方便和突出真正要讨论的内容,用户信息并不是真的放到数据库中的,而是放在一个集合里,不过通过一个DataAccess类来隐藏这种差异。理论上,一旦关闭应用程序并重新开启,放在集合中的数据就会丢失。然而实际上,再重复运行这里的示例时,用户数据并不会丢失,即便应用程序有所改动也是。这是因为 2.0对于Web项目都是动态重新编译的,应用程序从未直接终止过。 此外,就用户的数据实体类而言,我们仅提供了注册、登录所必需的属性——用户名、密码散列值、密码Salt值。(关于密码的加Salt值散列,请参见之前的一篇短文。) 为了进行用户注册,我们建立了register.aspx页面,该页面仅负责搜集用户信息,真正的创建用户动作在App_Code下的Membership类中完成。注意,此Membership非彼Membership,与 2.0 Membership没有任何关系。 首先在Membership类中添加一个静态方法CreateUser,用于创建用户。该方法完成用户实体的创建和密码的散列等功能。其代码如下所示: 1publicstaticvoidCreateUser(stringuserName,stringpassword)
2{
3UserObjectuser=newUserObject();
4user.Name=userName;
5user.PasswordSalt=GenerateSalt();
6user.PasswordHash=EncodePassword(password,user.PasswordSalt);
7
8DataAccess.AddUser(user);
9}
10 这段代码非常简单,其中用到了GenerateSalt和EncodePassword方法,这两个方法用于完成salt值的生成和密码的加salt散列。其代码抽取自MembershipProvider类,进行了精简如下所示: 1publicconststringPasswordHashAlgorithmName="SHA1";
2
3staticstringEncodePassword(stringpassword,stringsalt)
4{
5byte[]src=Encoding.Unicode.GetBytes(password);
6byte[]saltbuf=Convert.FromBase64String(salt);
7byte[]dst=newbyte[saltbuf.Length+src.Length];
8byte[]inArray=null;
9Buffer.BlockCopy(saltbuf,0,dst,0,saltbuf.Length);
10Buffer.BlockCopy(src,0,dst,saltbuf.Length,src.Length);
11
12HashAlgorithmalgorithm=HashAlgorithm.Create(PasswordHashAlgorithmName);
13inArray=puteHash(dst);
14
15returnConvert.ToBase64String(inArray);
16}
17
18staticstringGenerateSalt()
19{
20byte[]data=newbyte[0x10];
21newRNGCryptoServiceProvider().GetBytes(data);
22returnConvert.ToBase64String(data);
23} 然后在register.aspx页面中创建搜集用户信息的表单,这个表单非常简单,仅需在ContentPlaceHolder1内添加如下代码: 1<table>
2<tr><td>用户名:</td><td><asp:TextBoxID="txtUserName"runat="server"></asp:TextBox></td></tr>
3<tr><td>密码:</td><td><asp:TextBoxID="txtPassword"runat="server"TextMode="Password"></asp:TextBox></td></tr>
4<tr><tdcolspan="2"><asp:ButtonID="btnOK"runat="server"Text="确定"
5onclick="btnOK_Click"/></td></tr>
6</table>
7<asp:LabelID="lblMessage"runat="server"></asp:Label> 注意这比实际的注册页要简单许多,没有对用户名和密码的格式做验证,也没有让用户重复输入密码以确保没有键入错误。但Anders Liu相信,对于聪明的读者而言这些都不是问题,所以不再赘述。 在“确定”按钮的事件处理器中添加如下代码,完成注册功能: 1protectedvoidbtnOK_Click(objectsender,EventArgse)
2{
3try
4{
5Membership.CreateUser(txtUserName.Text,txtPassword.Text);
6
7lblMessage.Text="用户创建成功!";
8}
9catch(Exceptionex)
10{
11lblMessage.Text="错误:"+ex.Message;
12}
13}
14用户登录用户登录大致由下面几个步骤完成: l根据用户名取得与用户相关的信息(用户实体对象); l判断用户密码是否正确; l设置用户凭据Cookie并重定向到登录前页面。 我们主要还是在Membership类中来完成这些工作。为Membership类添加一个Login方法: 1publicstaticvoidLogin(stringuserName,stringpassword,boolrememberMe)
2{
3//获取用户。
4UserObjectuser=DataAccess.GetUserByName(userName);
5if(user==null)
6thrownewArgumentException("用户不存在!","UserName");
7
8//检查密码是否正确。
9stringpwdHash=EncodePassword(password,user.PasswordSalt);
10if(pwdHash!=user.PasswordHash)
11thrownewArgumentException("密码错误!","Password");
12
13//设置安全Cookie并进行重定向。
14FormsAuthentication.RedirectFromLoginPage(userName,rememberMe);
15} 这里重点在于检查密码,不过其工作方式已经在上一篇文章中介绍过了,此处不再赘述。读者应该注意到,对密码进行散列使用的是已经存放在数据实体中的Salt值,而不是重新生成Salt值。 这段示例代码通过抛异常来返回错误信息。读者在实际编写这个方法时,可以创建多个Exception类的派生类,分别表示不同的错误;或者采取其他无需抛异常的方式。这一点仁者见仁,智者见智。 接下来,提供一个简单的登录页,完成收集用户名和密码的工作。login.aspx页面的结构也很简单,只需在<ContentPlaceHolder1>中添加下列代码: 1<table>
2<tr><td>用户名:</td><td><asp:TextBoxID="txtUserName"runat="server"></asp:TextBox></td></tr>
3<tr><td>密码:</td><td><asp:TextBoxID="txtPassword"runat="server"TextMode="Password"></asp:TextBox></td></tr>
4<tr><tdcolspan="2">
5<asp:ButtonID="btnLogin"runat="server"Text="登录"onclick="btnLogin_Click"/>
6<asp:CheckBoxID="chkRememberMe"runat="server"Text="记住我"/>
7</td></tr>
8</table>
9<asp:LabelID="lblMessage"runat="server"></asp:Label> 最后,在“登录”按钮的事件处理器中添加如下代码,调用刚刚写好的Membership.Login方法,完成登录。 1protectedvoidbtnLogin_Click(objectsender,EventArgse)
2{
3try
4{
5Membership.Login(txtUserName.Text,txtPassword.Text,chkRememberMe.Checked);
6}
7catch(Exceptionex)
8{
9lblMessage.Text="错误:"+ex.Message;
10}
11}
12 至此,用户登录功能就OK了。由于之前已经完成了判断用户是否登录的代码,现在就可以运行示例,注册一个用户并尝试从各个页面进入登录页进行登录了。用户注销至此,我们已经为用户进入我们的系统提供了宽敞大路;但作为一个负责任的程序,我们还得确保当用户离开我们的程序时,能够“挥一挥衣袖”不留下一丝痕迹。这个安全离开的行为,我们称之为“注销”;要抹去的“痕迹”也就是登录时留下的用户凭据Cookie。 本文的第一部分已经介绍过,FormsAuthentication.SignOut方法可以协助完成这一任务。我们在MasterPage中也预先放置好了一个“注销”链接按钮,在这里,只要为该按钮添加如下事件处理器即可: 1protectedvoidbtnLogout_Click(objectsender,EventArgse)
2{
3FormsAuthentication.SignOut();
4Response.Redirect(Request.RawUrl);
5} 在这里,首先通过调用FormsAuthentication.SignOut方法移除了用户凭证Cookie。这个方法并不能自动完成跳转,因此我么必须自己完成跳转任务。关于注销后跳转到哪个页面,每个应用程序都有自己的方式(如跳到登录页或跳到首页等),这里选择的是刷新当前页。小结好了,到现在为止,完整的用户注册、登录功能就都实现了。由于有了FormsAuthentication类,这一任务已经非常简单了。这一部分仅仅是从实践的角度顺序操作了一下。 下一部分将介绍如何将我们自己的用户实体放到HttpContext.User属性中。