.net的Membership,为什么就这么困难呢?

ASP.net 2.0出来以后,一直想用一下2.0的Membership,这个封装的很好的网站权限管理工具。我采用的是SQLProvider,用aspnet_regsql产生了所需要的表,并且配置了web.config,但是在实际使用中却遇到了不少的问题,包括登录以后通过Membership.GetUser()来获取当前登录的用户,结果代码返回给我的是null.....包括在webconfig中的认证和授权的设置,似乎也全然不起效果,经过一番搜索,还是无法解决这个问题,于是没办法,只能利用membership,但是却自己实现整个认证授权的过程。

因为login控件不起作用,所以就自己写了一个login.aspx的页面,这个页面通过Membership.ValidateUser()函数对用户的登录进行判断,用户成功登录以后,将用户的username保存到session中。

自己实现了一个XML序列化的可配置的对象,大致如一下的结构

<?xml version="1.0"?>
<SecurityConfig xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
<PageLocations>
<PageLocation Location="~/admin/admin/RoleManager.aspx">
<Allow Roles="Administrator" />
</PageLocation>
</PageLocations>
</SecurityConfig>

PageLocations是一个PageLocation的List对象集合,Pagelocation中location包含了所要加入权限的页面。Pagelocation中的包含一个Allow对象,其中有一个属性是Roles,包含页面可授权的用户角色,可以用逗号分割,这样把所有的页面加入到这个XML结构中。

然后实现如下的一个函数:

/// <summary>
/// 是否允许访问该页
/// </summary>
/// <param name="url">授权的路径</param>
/// <param name="rolenames">授权角色</param>
/// <returns>是否获得授权</returns>
public bool isAllow(Uri url,string[] rolenames,HttpContext context)
{
string path=context.Server.MapPath(url.AbsolutePath);
PageLocation theLocation = null;
foreach (PageLocation location in pageLocations)
{
string strlocation;
strlocation=context.Server.MapPath(location.Location);
if (strlocation.ToLower() == path.ToLower())
{
theLocation = location;
}
}
if (theLocation != null)
{
string[] roles = theLocation.Allow.Roles.Split(',');
foreach (string role in roles)
{
foreach (string rolename in rolenames)
{
if (rolename == role)
{
return true;
}
}
}
return false;
}
else
{
return false;
}

}

通过对当前访问页面的绝得路径和xml中的绝得路径进行比较,然后取得xml中描述的Pagelocation对象,从而判断他Allow的Role是不是和当前的用户的Role是不是匹配,从而来实现角色的安全授权。

由于我这个管理是用在一个后台的安全管理上面,所以写了一个用户控件来封装这个SecurityConfig 类,通过Context.Session[]来取得登录的用户账号,然后通过Roles.GetRolesForUser(username)来取得登录用户的角色,然后将Context.Request.Url和roles一起传入到刚才的函数中,如果用户获得授权就展示当前页面,不然就跳转到自己得登录页面或者提示你无此权限。

由于我使用了MasterPage,所以对于这种情况我只要把这个控件绑定到masterpage上,这样每个页面就都在管理中了,并且在后台写一个对这个SecurityConfig 对象得编辑和序列化得页面,就实现了对所有页面得权限控制。

对于采用这种方式,也是在玩不灵Membership时候得一个下策,这样即利用了Membership提供得关于用户得如CreateUser,CreateRoles这些基本功能,又满足了对权限设置得需要,现在也只能这么处理了。

第一次在首页投稿,另外希望哪位朋友能告诉我什么情况下.net得授权会不灵。。。。

posted on 2006-08-14 19:44 livesite 阅读(4235) 评论(28) 编辑 收藏

评论

#1楼 2006-08-14 20:02 dudu        回复 引用 查看   

文章篇幅较长,建议使用摘要方式发布,如何使用摘要,请博客园FAQ第4项: http://www.cnblogs.com/dudu/articles/52480.aspx

#2楼[楼主] 2006-08-14 20:04 livesite        回复 引用 查看   

谢谢,dudu提醒,我进行修改

#3楼 2006-08-14 20:52 阿不        回复 引用 查看   

使用Membership是很简单的事啊,我不知道你为什么说很难用啊!

#4楼[楼主] 2006-08-14 21:00 livesite        回复 引用 查看   

@阿不
用起来是简单阿,但是我登录后始终取得不到登录用户对象,不知道为什么,所以只能自己写一个办法取得了。

#5楼 2006-08-14 21:15 阿不        回复 引用 查看   

要取到已登录的用户,必须使用Membership.GetUser(string) 这个原型的方法,参数是登录用户的ID,你可以通过Page.User.Identity.Name 取到已经登录的用户,用户名是被存在Cookies中的,通过Page.User.Identity.IsAuthenticated 可以判断该用户是否已登录(验证)过等等(也很少用).完全不需要我们存Session的,另外关于Login控件也很好用不的,如果你不需要其它的处理的话,那么通过它与Membership合作可以让你不写一句代码就可以实现用户验证功能的.

#6楼[楼主] 2006-08-14 21:17 livesite        回复 引用 查看   

@阿不
那个Membership.GetUser()本身不传参的情况下取得的是什么用户?

#7楼[楼主] 2006-08-14 21:21 livesite        回复 引用 查看   

关键我现在还遇到一个问题就是无法用<authorization>
<allow .../>
<deny .../>
</authorization>
这种方式来进行对用户的权限管理

#8楼 2006-08-14 21:45 办公平台[未注册用户]  回复 引用   

这种文章请发到新手区,谢谢

#9楼[楼主] 2006-08-14 22:01 livesite        回复 引用 查看   

@办公平台
不欢迎打广告的在blog上发广告

#10楼 2006-08-15 07:58 aspnetx        回复 引用 查看   

MemberShip,想说爱你不容易
http://www.cnblogs.com/aspnetx/archive/2006/03/22/355731.aspx

#11楼 2006-08-15 08:28 阿不        回复 引用 查看   

为什么呢无法使用authorization配置节呢?要注意,先配置的优先生效.(好像是吧,记不清了,反正deny和allow有先后顺序的.)比如你配置allow user="*" 是表示允许已登录用户访问,但是你并没有拒绝匿名用户访问,所以匿名用户还是会被允许访问的.正确配置如下:
<deny user="?">
<allow user="*">

这样的话,页面才是只允许已登录用户访问的,加上角色控制如同.

#12楼[楼主] 2006-08-15 08:31 livesite        回复 引用 查看   

@阿不
我现在发现在我deny的情况下,allow的作用也没有体现出来,似乎Membership不认我的Roles,好像没读到Roles一样。

#13楼 2006-08-15 08:31 里德王        回复 引用 查看   

其实……真的是很好用的,建议看一下源代码以及MSDN中在关于如何在Web.config对Membership进行配置的章节。

#14楼[楼主] 2006-08-15 09:01 livesite        回复 引用 查看   

@阿不
Page.User.Identity.Name 我取道的仍然为空。

#15楼[楼主] 2006-08-15 09:01 livesite        回复 引用 查看   

@阿不
Page.User.Identity.Name 我取道的仍然为空。

#16楼 2006-08-15 09:33 出走的影子        回复 引用 查看   

耐心点按照asp.net或者msdn上的demo做一遍再说吧

#17楼 2006-08-15 09:41 维生素C.NET        回复 引用 查看   

新建一个web site,不要用IIS,用file system方式,把不work的代码copy过去,然后run,看看是不是好用了?
我遇到过这种不工作的情况。但是不知道怎么就好了。

#18楼 2006-08-15 09:56 阿不        回复 引用 查看   

你没有使用Login控件登录,当然为空了。
或者你也可以使用FormsAuthentication.SetAuthCookie 将已验证过的用户写入Cookies,就可以取到了。

#19楼 2006-08-15 10:33 菌哥        回复 引用 查看   

LZ说到"因为login控件不起作用",我就搞不懂,我一直在用login控件,怎么就不起作用了呢,不是很好用嘛

#20楼 2006-08-15 10:40 kqw[未注册用户]  回复 引用   

我觉得很好用啊,用起来很方便,Page.User.Identity 可以获取当前用户的属性,我喜欢用这个。

#21楼[楼主] 2006-08-15 10:44 livesite        回复 引用 查看   

@出走的影子
我按照例子的情况是正常的,原来一直正常的,突然就出现这个问题了。
另我失灵的前提是我使用了login控件,正因为采用login控件却无法取得Page.User.Identity,所以才自己按照文章的方法处理的。

#22楼[楼主] 2006-08-15 10:45 livesite        回复 引用 查看   

@菌哥
要是ok的话,也没那么多磨难了,能用membership,我就不用写那么多的处理代码了。。。

#23楼 2006-08-15 12:22 hehea[未注册用户]  回复 引用   

奇怪了,这么多人都没碰到过这种问题,唯独你有问题,太奇怪了

另外希望livesite把这种新手入门类的帖子放到新手区好点

#24楼[楼主] 2006-08-15 13:41 livesite        回复 引用 查看   

@hehea
事实上有多少人真正使用了membership呢?还有就是这个如果是入门类帖子,希望你能告诉我为什么会失效,如果单纯的membership的使用,我想翻译那些asp.net上的文章的更应该进新手贴去才是。其实发现还是大家对membership摸得不熟悉,如果熟悉的话,我想我遇到的问题应该很快能被解答,也应该真正归类到新手贴的时候了。

#25楼 2006-08-15 20:58 WS_STONE[未注册用户]  回复 引用   

是否是新手问题,是没有办法一刀界定的,说到底,你还是没有去研究membership的实现原理

#26楼[楼主] 2006-08-15 21:07 livesite        回复 引用 查看   

@WS_STONE
不过现在为止各位研究过代码的同志还是没有给我一个情况说明,membership代码我也看过,现在问题是在没有异常的情况下,我不知道问题出现在哪里,不过很有可能是applicationname的问题,对于这个东西我相信是membership上最麻烦的事情了。

#27楼 2006-08-26 08:42 阿不        回复 引用 查看   

@livesite
不是说新手遇到的问题,老手一下子就都能解答的,也许是你使用时哪些地方没有注意到。对于这种问题没人能给你完美的答案的,只能给你一些提示,自己再去探索解决方案的。

#28楼[楼主] 2006-08-26 09:04 livesite        回复 引用 查看   

@阿不
我自己已经有了我的解决方案,而且我相信如果其他人遇到这种情况也许会从我的文章中受益。
最新IT新闻:
· 最想要的Entity Framework功能
· 专访Jeffrey Richter:Windows 8是微软的重中之重
· 《福布斯》:谷歌进军硬件产品 难撼动苹果地位
· 美国空军拟最多购买1.8万台iPad 2
· 分析称专利之争让谷歌苹果两败俱伤
» 更多新闻...