本篇的話題如下：

　　Forms驗證的工作原理

　　Forms驗證中的API

　　Forms驗證的工作原理

　　我們知道，F(xiàn)orms驗證主要是基于cookie的，說白一點就是：把用戶信息保存在cookie中，然后發(fā)送到客戶端；再就是解析客戶端的發(fā)送了的cookie信息，進行解析，然后進行驗證。關(guān)于cookieless的工作原理和方法，我這里不贅述，大家可以參看我的另外的一片文章：淺談ASP.NET內(nèi)部機制(一)。

　　當匿名用戶請求一個需要驗證后才能訪問的資源和頁面的時候，那么如果采用了Forms驗證，那么URL授權(quán)模塊就會把用戶重定向到登錄頁面。而之前請求的URL就會被保存起來，等到用戶正確的登錄后，就再次轉(zhuǎn)向之前要請求的頁面。我想這點，大家應(yīng)該都用過。

　　下面我們就看看登錄的時候發(fā)生了什么，看看登錄的具體的流程？也請大家注意我使用的一些術(shù)語，因為這些術(shù)語再Forms中都有特定的對象，大家之后就可以看到的，很重要。

　　1.再瀏覽器中有個登錄窗體，要輸入用戶名和密碼等憑證，通過提交給服務(wù)器的ASP.NET網(wǎng)站來審核，檢查憑證是否正確。
　　2.如果憑證正確，那么就會再服務(wù)器端就會創(chuàng)建一個"身份驗證票據(jù)"。身份驗證票據(jù)中含有了經(jīng)過加密的用戶信息。
　　3.這個票據(jù)再服務(wù)器端被寫入cookie中，然后發(fā)送到客戶端。
　　4.然后用戶就被重定向到他們最初請求的URL中。

　　注：大家可能會有疑問：最初請求的URL到底保存在哪里？不要擔心，現(xiàn)在只要明白上面的流程就OK。
 
　　5.上面第4步就是要轉(zhuǎn)向最初請求的URL，假設(shè)最初的請求頁面是Default.ASPx,那么現(xiàn)在就是從登錄的頁面Login.ASPx轉(zhuǎn)向到Default.ASPx 頁面，此時因為身份驗證的票據(jù)cookie已經(jīng)存在于客戶端的瀏覽器中了，此時的轉(zhuǎn)向Default.ASPx頁面時，實際是再次向服務(wù)器端發(fā)起了請求，所以正如我們之前所談到的：每個請求都要從ASP.NET管道中一級級的向后傳，要經(jīng)歷ASP.NET的的生命周期：Application_BeginRequest,Application_AuthenticateRequest.....。(希望大家明白)

　　但是這次的請求就和第一次我們發(fā)起的請求步同了，為什么？

　　第一次我們請求Default.ASPx頁面的時候，我們根本就沒有提供任何的表明我們身份的票據(jù)，但是這次我們已經(jīng)登錄了，而且我們的瀏覽器中已經(jīng)有了我們的身份驗證的票據(jù)的cookie，此時在Application_AuthenticateRequest事件中，F(xiàn)orms驗證模塊就獲取表明我們身份cookie，然后就利用cookie中信息填充Context.User。

　　驗證模塊處理完之后就是授權(quán)模塊起作用了。其實URL授權(quán)模塊就會利用我們之前填充在Context.User中的信息來驗證用戶是否被批準訪問所請求的資源或者頁面。
 
 　　Forms驗證中的API

　　實現(xiàn)Forms身份驗證之前，我們看看組成Forms驗證的API以及相關(guān)的類：
　　FormsAuthenticationModule:對每個請求進行驗證的HTTP模塊
　　FormsAuthentication:包含在Forms驗證中我們常用的方法和屬性(很重要的)
　　FormsIdentity：Forms驗證標識。
　　FormsAuthenticationTicket：身份驗證的票據(jù)，對用戶的信息進行加密后的產(chǎn)物，我們一般把它寫如cookie中，之前我們談過了的。

　　上面的類在System.Web.Security下。

　　下面我們來一一介紹.

　　FormsAuthenticationModule
　　它是一個實現(xiàn)了IHttpModule接口的類。它可以用來處理每個請求的Application_AuthenticateRequest事件。如果發(fā)送了的請求中已經(jīng)包含了cookie信息，那么這個模塊就對cookie信息進行解密和解析，然后構(gòu)造一個GenericPrincipal的類實例填充Context.User,并且也創(chuàng)建一個FormsIdentity的實例。
       注意：當我們在web.config中配置了Forms驗證后，那么我們在Application_AuthenticateRequest事件寫的代碼要是和Forms相關(guān)的API。上篇文章談過了。

　　FormsAuthentication類這個類很重要。

　　還有一點注意的就是：因為FormsAuthentication和FormsAuthenticationModule名稱很相似，很容易混淆。

　　它們之前的區(qū)別在于，F(xiàn)ormsAuthenticationModule是一個HTTP模塊；而FormsAuthenticate是一個類，它有很多的方法和屬性。更加直白的說就是：它們之前沒有什么關(guān)聯(lián)，只是在Application_AuthenticateRequest事件中我們常常要調(diào)用FormsAuthenticate類的一些方法和屬性。而且FormsAuthenticate的很多方法都是靜態(tài)的方法，我們不會創(chuàng)建FormsAuthenticate類的實例。

　　還有一點要特別注意的就是FormsAuthenticate的Authenticate方法。
我們之前說過了，我們一般是在登錄窗體中提交用戶信息，然后服務(wù)器端驗證提交的信息，我們在服務(wù)器端常常是去數(shù)據(jù)庫中檢查這些信息的正確性，但是去數(shù)據(jù)庫或者其他的數(shù)據(jù)存儲(如文件，活動目錄)中去檢查只是一種情況。
還有另外的情況。不知道大家是否記得web.config 中的一個配置的節(jié)點：

　　如果我們在配置文件配置了上述的信息，那么我們就可以用Authenticate方法來檢查提供了用戶信息(用戶名和密碼)是否正確，如果我們沒有在web.config配置用戶的信息，也就是說我們是把信息保存在數(shù)據(jù)庫等其他的地方，那么我們就不能Authenticate這個方法。當然我們很少用Authenticate這個方法，因為我們不可能把所有用戶信息硬編碼到配置文件中，但是還是要清楚這個方法。
 
　　另外我簡單的介紹一些常用的方法，具體的使用我以后會講述。
在FormsAuthenticate中使用頻繁的是RedirectFromLoginPage方法。每當驗證了用戶的憑證后就會使用到這個方法，也就是我們之前說過的：跳轉(zhuǎn)到我們最初請求的頁面。
這個方法就這么簡單的一"跳"，但是其實在內(nèi)部做了很多的事情：
　　1.為用戶創(chuàng)建一個身份驗證的票據(jù)
　　2.對身份驗證的票據(jù)進行加密
　　3.創(chuàng)建一個cookie，把加密的票據(jù)保存在cookie中
　　4.向HTTP響應(yīng)添加cookie，并且發(fā)送給客戶端。
　　5.跳轉(zhuǎn)，并且把用戶重定向到最初請求的頁面

　　另外FormsAuthenticate類還有很多的其他方法和屬性：
　　FormsAuthenticate中涉及到客戶端保存cookie的兩個屬性就是：
　　FormsCookieName:獲取或者設(shè)設(shè)置cookie的名稱
　　FormsCookiePath:獲取或者設(shè)置cookie的url路徑
　　其中FormsCookiePath屬性有一點要注意:大多數(shù)的瀏覽器會在判斷cookie是否要和請求一起發(fā)送時，用到cookie路徑。(我們一般在配置文件配置path="/"),如果我們配置的path不是"/"，那么這個cookie就不會和請求發(fā)送到服務(wù)器端.
FormsAuthenticate中和cookie操作相關(guān)的方法有：
　　Decrypt:提取身份驗證cookie的加密信息，創(chuàng)建FormsAuthenticationTicket,也就是解密。
　　Encrypt:加密。從FormsAuthenticationTicket中獲取信息，并且加密。以備我們之后把加密的信息寫入cookie
　　GetAuthCookie:創(chuàng)建身份驗證cookie，但是并不把它立即添加到HTTP響應(yīng)中
　　SetAuthCookie:創(chuàng)建身份驗證cookie，并且把它添加到Response.Cookie中。
　　RenewTicketIfOld：刷新身份驗證cookie的生命周期

　　GetRedirectUrl:把用戶重定向到他們最初請求的頁面。
       SignOut:使得當前的身份驗證cookie過期。我們常用的注銷功能。
 
　　FormsIdentity
　　大家現(xiàn)在應(yīng)該知道什么是標識 Identity,它包含了用戶名和ID標識信息，可以參看我前面的文章。

　　FormsAuthenticationTicket 票據(jù)
　　通過上面的講解，大家已經(jīng)對它不陌生了，F(xiàn)ormsAuthenticationTicket實際上就包含用戶信息的一個類的實例。
注意：FormsAuthenticationTicket和cookie之間的區(qū)別：
       cookie其實就是一個載體，容器，它包含了加密后的FormsAuthenticationTicket。

　　FormsAuthenticationTicket類的UserName屬性就是用戶的用戶名，我們可以根據(jù)這個屬性識別不同的用戶。
由于身份驗證是基于cookie的，所以要考慮到cookie的過期的問題。比如我們在登錄時有個"記住我"的checkbox，如果勾上，那么就創(chuàng)建了一個永不過期的cookie，處于安全，我不提倡這樣。

　　所以在FormsAuthenticationTicket也提供了關(guān)于設(shè)置cookie屬性：
　　Expiration:獲取一個表示cookie期滿的DateTime對象
　　Expired：判斷cookie是否過期
　　IsPersistent:是否在用戶關(guān)閉瀏覽器后繼續(xù)保存cookie
　　IssueDate:返回最初設(shè)置cookie的時間

　　還有就是CookiePath：設(shè)置cookie的保存路徑，前面談?wù)撨^了，一般設(shè)置為"/"。
　　另外FormsAuthenticationTicket身份驗證票據(jù)目的是識別用戶。同時，我們也可以利用FormsAuthenticationTicket的UserData屬性添加額外的信息，如角色等，然后這額外的信息就可以保存在cookie中。

今天就談這里。大家先有個總體的認識，具體的代碼部分，我們后面談。謝謝各位！！！

NET技術(shù)：ASP.NET安全問題－－Forms驗證的具體介紹(上篇)，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。