关于sql语句中的连接（join）关键字，是较为常用而又不太容易理解的关键字，下面这个例子给出了一个简单的解释 --建表table1,table2：
create table table1(id int,name varchar(10))
create table table2(id int,score int)
insert into table1 select 1,'lee'
insert into table1 select 2,'zhang'
insert into table1 select 4,'wang'
insert into table2 select 1,90
insert into table2 select 2,100
insert into table2 select 3,70
如表
-------------------------------------------------
 table1  | table2  |
-------------------------------------------------
id  name |id  score |
1  lee |1  90 |
2  zhang |2  100 |
4  wang |3  70 |
-------------------------------------------------

以下均在查询分析器中执行

一、外连接
1.概念：包括左向外联接、右向外联接或完整外部联接

2.左连接：left join 或 left outer join
(1)左向外联接的结果集包括 LEFT OUTER 子句中指定的左表的所有行，而不仅仅是联接列所匹配的行。如果左表的某行在右表中没有匹配行，则在相关联的结果集行中右表的所有选择列表列均为空值(null)。
(2)sql语句
select * from table1 left join table2 on table1.id=table2.id
-------------结果-------------
id name id score
------------------------------
1 lee 1 90
2 zhang 2 100
4 wang NULL NULL
------------------------------
注释：包含table1的所有子句，根据指定条件返回table2相应的字段，不符合的以null显示

3.右连接：right join 或 right outer join
(1)右向外联接是左向外联接的反向联接。将返回右表的所有行。如果右表的某行在左表中没有匹配行，则将为左表返回空值。
(2)sql语句
select * from table1 right join table2 on table1.id=table2.id
-------------结果-------------
id name id score
------------------------------
1 lee 1 90
2 zhang 2 100
NULL NULL 3 70
------------------------------
注释：包含table2的所有子句，根据指定条件返回table1相应的字段，不符合的以null显示

4.完整外部联接:full join 或 full outer join
(1)完整外部联接返回左表和右表中的所有行。当某行在另一个表中没有匹配行时，则另一个表的选择列表列包含空值。如果表之间有匹配行，则整个结果集行包含基表的数据值。
(2)sql语句
select * from table1 full join table2 on table1.id=table2.id
-------------结果-------------
id name id score
------------------------------
1 lee 1 90
2 zhang 2 100
4 wang NULL NULL
NULL NULL 3 70
------------------------------
注释：返回左右连接的和（见上左、右连接）

二、内连接
1.概念：内联接是用比较运算符比较要联接列的值的联接

2.内连接：join 或 inner join

3.sql语句
select * from table1 join table2 on table1.id=table2.id
-------------结果-------------
id name id score
------------------------------
1 lee 1 90
2 zhang 2 100
------------------------------
注释：只返回符合条件的table1和table2的列

4.等价（与下列执行效果相同）
A:select a.*,b.* from table1 a,table2 b where a.id=b.id
B:select * from table1 cross join table2 where table1.id=table2.id  (注：cross join后加条件只能用where,不能用on)

三、交叉连接(完全)

1.概念：没有 WHERE 子句的交叉联接将产生联接所涉及的表的笛卡尔积。第一个表的行数乘以第二个表的行数等于笛卡尔积结果集的大小。（table1和table2交叉连接产生3*3=9条记录）

2.交叉连接：cross join (不带条件where...)

3.sql语句
select * from table1 cross join table2
-------------结果-------------
id name id score
------------------------------
1 lee 1 90
2 zhang 1 90
4 wang 1 90
1 lee 2 100
2 zhang 2 100
4 wang 2 100
1 lee 3 70
2 zhang 3 70
4 wang 3 70
------------------------------
注释：返回3*3=9条记录，即笛卡尔积

4.等价（与下列执行效果相同）
A:select * from table1,table2       

转载地址：http://blog.csdn.net/daisy_leaf/archive/2006/10/08/1325494.aspx

ASP.NET 2.0中新增的最佳功能之一是新的成员身份服务，它提供了用于创建和管理用户帐户的易于使用的API。ASP.NET 1.x大规模引入了窗体身份验证，但仍然要求您编写相当数量的代码来执行实际操作中的窗体身份验证。成员身份服务填补了ASP.NET 1.x窗体身份验证服务的不足，并且使实现窗体身份验证变得比以前简单得多。

　　成员身份API通过两个新的类公开：Membership和MembershipUser。前者包含了用于创建用户、验证用户以及完成其他工作的静态方法。MembershipUser代表单个用户，它包含了用于检索和更改密码、获取上次登录日期以及完成类似工作的方法和属性。通过这两个新的类，我们可以不用写一行代码，方便得完成对用户的管理。 但是在实际开发过程中，绝对不能满足我们日常开发的需要。经过日常项目的开发和网络上资料的搜索，现将其一一列出：

　　一、默认的各类的数据库是使用sql express的，而我们在实际开发中往往使用sql sever 2000或者sql server 2005，这时就需要我们修改数据库的类型。

　　微软给我们提供了一个Aspnet_regsql的命令来修改默认数据库。打开 Visual Studio 2005 命令提示，输入aspnet_regsql，按照提示一步一步进行即可。

　　此时打开数据库，可以发现多处来了一系列"aspnet_"开头的存储过程，这就是我们使用membership所必需的存储过程。

　　此时打开IIS,[属性] →[ASP.NET] →[编辑配置]：

　　[常规]，连接参数LocalSqlServer按照普通的sql连接字符串格式。

　　[身份验证]，模式为Forms,管理提供程序的minRequiredNonalphanumericCharacters为0，这时就可以去掉默认变态的必需需要输入字母，数字等组合的密码安全了。此步也可修改密码最低长度和最大长度等等。

　　经过此步骤，系统会自动在web.config中配置好了我们所需的规则。很方便，修改web.config以后都可以通过这种图形化工具来了。

　　二、由于自带的login控件和membership类，只提供了简单的用户信息录入，不能满足我们项目的需要。例如：我们要用户注册的时候同时输入QQ号码，电话号码，家庭地址。那么默认的是没有办法解决的。我这里给出两种解决方案。我分别用在了不同的项目中。优缺点大家自行判断。

　　1、使用profile。此类方法网上教程已经很多。不在出重复叙述，免去赚稿费的嫌疑：）。这里只是给出网上没有的部分说明。
由于membership只能列出来指定组的用户名，而不能列出其他的详细信息，我们实际使用中，往往需要对组中的其它信息进行同时修改。我采用的是自行构造datatable的方法。见代码：

public static DataTable listuser(string userRoles)//列出指定组的用户信息
{
　string[] users = Roles.GetUsersInRole(userRoles);
　//列出指定组下的用户
　DataTable dt = new DataTable();
　dt.Columns.Add("username", System.Type.GetType("System.String"));
　dt.Columns.Add("QQ", System.Type.GetType("System.String"));
　dt.Columns.Add("phone", System.Type.GetType("System.String"));
　dt.Columns.Add("address", System.Type.GetType("System.String"));
　dt.Columns.Add("email", System.Type.GetType("System.String"));
　//以上构造一个数据表
　foreach (string i in users)
　{
　　DataRow dr = dt.NewRow();
　　MembershipUser mu = Membership.GetUser(i);
　　得到用户基本信息
　　ProfileCommon p = Profile.GetProfile(i); //得到用户的profile信息
　　dr[0] = mu. username;
　　dr[1] = p. QQ;
　　//profile是强类型，可以很方便的通过感知来添加。
　　dr[2] = p. phone;
　　dr[3] = p. address;
　　dr[4] = mu. email;
　　dt.Rows.Add(dr);
　　dt.AcceptChanges();
　}
　return dt;
}
public static void deleteuser(string username)/删除指定用户
{
　Membership.DeleteUser(username);
　//系统会自动删除profile下的指定用户的信息
}
public static void updateuser(string username)/更新指定用户
{
　ProfileCommon p = Profile.GetProfile(i);
　//得到用户的profile信息
　p. phone="电话";
　p. address="地址;
　p. QQ="QQ号码";
　p.Save();
　//保存所作修改。
}

　　2、自定义一个membershipinfo表格，同membership系统标关联起来。自己编写SQL语句来进行查询，修改等功能。

列出指定组的用户
select * from aspnet_membership inner join aspnet_users on
aspnet_membership.userid=aspnet_users.userid left join memberinfo on aspnet_membership.userid=memberinfo.userid
where aspnet_membership.userid=(select userid from aspnet_usersinroles inner join
aspnet_roles on aspnet_usersinroles.roleid=aspnet_roles.roleid where rolename='admin')
　　
　　删除、修改等功能比较简单，这里就不作叙述。可以采用membership的createuser方法建立，然后再用sql语句写入memberinfo表。

　　对于建立用户，我们可以采取扩展CreateUserWizard控件，或者自行写登陆界面。
1、采取扩展CreateUserWizard控件,我们可以使用它的模版列，此时需要注意的是：用户名，密码，提示问题，提示问题答案，Email，他们的ID一定要分别是username,Password,Question,Answer,Email否则会出错，而且此时验证控件均不能使用。怀疑是IDE的一个Bug。

　　如下所示，我们定义好的样式应当是：

＜WizardSteps＞
＜asp:CreateUserWizardStep runat="server"＞ 自定义代码部分＜ContentTemplate＞
＜/ContentTemplate＞
＜/asp:CreateUserWizardStep＞
＜/WizardSteps＞
代码部分：
protected void CreateUserWizard1_CreatedUser(object sender, EventArgs e)
{
　//由于系统会自动给们建立基本的信息表，所以我们只需要对profile或者membershipinfo标进行修改即可。 　　
　Roles.AddUserToRole(CreateUserWizard1.UserName, "shop");　
　//添加用户到相应的组
　ProfileCommon p = (ProfileCommon)ProfileCommon.Create(CreateUserWizard1.UserName, true);
　p. QQ = ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("QQ")).Text.Trim();
　p.address= ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("address")).Text.Trim(); 　　
　p.phone = ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("phone")).Text.Trim(); p.Save();//保存所作修改
}

　　2、采取自己写UI，个人推荐使用这种方法。灵活性比较大，而且可以使用2005强大的验证控件。

　　页面部分比较简单略过不再陈述。下面详细介绍一下代码部分。

　　此时我们需要使用membership的CreateUser()方法。语法我们就不再介绍。他会根据建立用户的结果返回成一个MembershipCreateStatus枚举类，它详细的包含了所有建立用户不成功的错误信息。我们只需要根据他的值，就可以返回给界面相应的提示，如：用户名已经存在，电子邮件已经存在等等。

　　对于自定义用户信息部分我们仍然可以采取profile或者自定义membershipinfo表的方法。

　　列出profile建立用户的方法。SQL语句比较简单，略过不写。

protected void Button1_Click(object sender, EventArgs e)
{
　MembershipCreateStatus status;
　MembershipUser newUser = Membership.CreateUser(username.Text.Trim(), Password.Text.Trim(), 　Email.Text.Trim(), Question.Text.Trim(), Answer.Text.Trim(), true, out status);
　//使用membership建立用户，并把建立结果返回给MembershipCreateStatus

　　if (newUser == null)//没有新用户，则意味着出错。
　　{
　　GetErrorMessage(status);
　　//调用GetErrorMessage函数，返回详细错误信息
　　} else {
　　　Roles.AddUserToRole(newUser.UserName, "jiancai");
　　　//添加用户到相应组 ProfileCommon
　　　p = (ProfileCommon)ProfileCommon.Create(newUser.UserName, true);
　　　p.QQ = QQ.Text.Trim();
　　　p.address= address.Text.Trim();
　　　p.phone= phone.Text.Trim();
　　　p.Save();
　　}
　}
public void GetErrorMessage(MembershipCreateStatus status)
{
　switch (status)
　　{
　　　case MembershipCreateStatus.DuplicateUserName: DisplayAlert("当前用户已经存在，请重新选择");
　　　　break;
　　　　//其余各种错误信息，请查看MSDN的MembershipCreateStatus枚举类。
　　　default: DisplayAlert("注册００００００００用户失败，请检查您的用户名，密码等信息");
　　　　break;
　　}
}

　　个人见解：采取profile的方法，比较方便，由于profile 是强类型，可以通过智能感知功能减少代码的输入量。采取自定义数据表的方法，需要输入大量的sql语句，但是查询速度比较快，性能比较强，由于Roles.GetUsersInRole()方法无法分页读取数据，只能一次性读出来所有数据，而自写SQL 语句可以很方便的根分页结合起来。随着用户量的增多，故不推荐profile方法。
1、采取扩展CreateUserWizard控件,我们可以使用它的模版列，此时需要注意的是：用户名，密码，提示问题，提示问题答案，Email，他们的ID一定要分别是username,Password,Question,Answer,Email否则会出错，而且此时验证控件均不能使用。怀疑是IDE的一个Bug。

　　如下所示，我们定义好的样式应当是：

＜WizardSteps＞
＜asp:CreateUserWizardStep runat="server"＞ 自定义代码部分＜ContentTemplate＞
＜/ContentTemplate＞
＜/asp:CreateUserWizardStep＞
＜/WizardSteps＞
代码部分：
protected void CreateUserWizard1_CreatedUser(object sender, EventArgs e)
{
　//由于系统会自动给们建立基本的信息表，所以我们只需要对profile或者membershipinfo标进行修改即可。 　　
　Roles.AddUserToRole(CreateUserWizard1.UserName, "shop");　
　//添加用户到相应的组
　ProfileCommon p = (ProfileCommon)ProfileCommon.Create(CreateUserWizard1.UserName, true);
　p. QQ = ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("QQ")).Text.Trim();
　p.address= ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("address")).Text.Trim(); 　　
　p.phone = ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("phone")).Text.Trim(); p.Save();//保存所作修改
}

　　2、采取自己写UI，个人推荐使用这种方法。灵活性比较大，而且可以使用2005强大的验证控件。

　　页面部分比较简单略过不再陈述。下面详细介绍一下代码部分。

　　此时我们需要使用membership的CreateUser()方法。语法我们就不再介绍。他会根据建立用户的结果返回成一个MembershipCreateStatus枚举类，它详细的包含了所有建立用户不成功的错误信息。我们只需要根据他的值，就可以返回给界面相应的提示，如：用户名已经存在，电子邮件已经存在等等。

　　对于自定义用户信息部分我们仍然可以采取profile或者自定义membershipinfo表的方法。

　　列出profile建立用户的方法。SQL语句比较简单，略过不写。

protected void Button1_Click(object sender, EventArgs e)
{
　MembershipCreateStatus status;
　MembershipUser newUser = Membership.CreateUser(username.Text.Trim(), Password.Text.Trim(), 　Email.Text.Trim(), Question.Text.Trim(), Answer.Text.Trim(), true, out status);
　//使用membership建立用户，并把建立结果返回给MembershipCreateStatus

　　if (newUser == null)//没有新用户，则意味着出错。
　　{
　　GetErrorMessage(status);
　　//调用GetErrorMessage函数，返回详细错误信息
　　} else {
　　　Roles.AddUserToRole(newUser.UserName, "jiancai");
　　　//添加用户到相应组 ProfileCommon
　　　p = (ProfileCommon)ProfileCommon.Create(newUser.UserName, true);
　　　p.QQ = QQ.Text.Trim();
　　　p.address= address.Text.Trim();
　　　p.phone= phone.Text.Trim();
　　　p.Save();
　　}
　}
public void GetErrorMessage(MembershipCreateStatus status)
{
　switch (status)
　　{
　　　case MembershipCreateStatus.DuplicateUserName: DisplayAlert("当前用户已经存在，请重新选择");
　　　　break;
　　　　//其余各种错误信息，请查看MSDN的MembershipCreateStatus枚举类。
　　　default: DisplayAlert("注册００００００００用户失败，请检查您的用户名，密码等信息");
　　　　break;
　　}
}

　　个人见解：采取profile的方法，比较方便，由于profile 是强类型，可以通过智能感知功能减少代码的输入量。采取自定义数据表的方法，需要输入大量的sql语句，但是查询速度比较快，性能比较强，由于Roles.GetUsersInRole()方法无法分页读取数据，只能一次性读出来所有数据，而自写SQL 语句可以很方便的根分页结合起来。随着用户量的增多，故不推荐profile方法。
1、采取扩展CreateUserWizard控件,我们可以使用它的模版列，此时需要注意的是：用户名，密码，提示问题，提示问题答案，Email，他们的ID一定要分别是username,Password,Question,Answer,Email否则会出错，而且此时验证控件均不能使用。怀疑是IDE的一个Bug。

　　如下所示，我们定义好的样式应当是：

＜WizardSteps＞
＜asp:CreateUserWizardStep runat="server"＞ 自定义代码部分＜ContentTemplate＞
＜/ContentTemplate＞
＜/asp:CreateUserWizardStep＞
＜/WizardSteps＞
代码部分：
protected void CreateUserWizard1_CreatedUser(object sender, EventArgs e)
{
　//由于系统会自动给们建立基本的信息表，所以我们只需要对profile或者membershipinfo标进行修改即可。 　　
　Roles.AddUserToRole(CreateUserWizard1.UserName, "shop");　
　//添加用户到相应的组
　ProfileCommon p = (ProfileCommon)ProfileCommon.Create(CreateUserWizard1.UserName, true);
　p. QQ = ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("QQ")).Text.Trim();
　p.address= ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("address")).Text.Trim(); 　　
　p.phone = ((TextBox)CreateUserWizard1.CreateUserStep.ContentTemplateContainer.FindControl("phone")).Text.Trim(); p.Save();//保存所作修改
}

　　2、采取自己写UI，个人推荐使用这种方法。灵活性比较大，而且可以使用2005强大的验证控件。

　　页面部分比较简单略过不再陈述。下面详细介绍一下代码部分。

　　此时我们需要使用membership的CreateUser()方法。语法我们就不再介绍。他会根据建立用户的结果返回成一个MembershipCreateStatus枚举类，它详细的包含了所有建立用户不成功的错误信息。我们只需要根据他的值，就可以返回给界面相应的提示，如：用户名已经存在，电子邮件已经存在等等。

　　对于自定义用户信息部分我们仍然可以采取profile或者自定义membershipinfo表的方法。

　　列出profile建立用户的方法。SQL语句比较简单，略过不写。

protected void Button1_Click(object sender, EventArgs e)
{
　MembershipCreateStatus status;
　MembershipUser newUser = Membership.CreateUser(username.Text.Trim(), Password.Text.Trim(), 　Email.Text.Trim(), Question.Text.Trim(), Answer.Text.Trim(), true, out status);
　//使用membership建立用户，并把建立结果返回给MembershipCreateStatus

　　if (newUser == null)//没有新用户，则意味着出错。
　　{
　　GetErrorMessage(status);
　　//调用GetErrorMessage函数，返回详细错误信息
　　} else {
　　　Roles.AddUserToRole(newUser.UserName, "jiancai");
　　　//添加用户到相应组 ProfileCommon
　　　p = (ProfileCommon)ProfileCommon.Create(newUser.UserName, true);
　　　p.QQ = QQ.Text.Trim();
　　　p.address= address.Text.Trim();
　　　p.phone= phone.Text.Trim();
　　　p.Save();
　　}
　}
public void GetErrorMessage(MembershipCreateStatus status)
{
　switch (status)
　　{
　　　case MembershipCreateStatus.DuplicateUserName: DisplayAlert("当前用户已经存在，请重新选择");
　　　　break;
　　　　//其余各种错误信息，请查看MSDN的MembershipCreateStatus枚举类。
　　　default: DisplayAlert("注册００００００００用户失败，请检查您的用户名，密码等信息");
　　　　break;
　　}
}

　　个人见解：采取profile的方法，比较方便，由于profile 是强类型，可以通过智能感知功能减少代码的输入量。采取自定义数据表的方法，需要输入大量的sql语句，但是查询速度比较快，性能比较强，由于Roles.GetUsersInRole()方法无法分页读取数据，只能一次性读出来所有数据，而自写SQL 语句可以很方便的根分页结合起来。随着用户量的增多，故不推荐profile方法。
三、密码问题。

　　个人觉得密码是一个比较头疼的问题。我们在实际开发中总是需要admin组有对用户进行密码修改的权限。Membership提供的修改密码方法只能在已经知道密码提示答案的时候才能修改。而admin组根本不可能知道用户的密码提示答案的。这里有点好笑。难道是中西方文化差异？

　　列出个人对membership密码研究的一些心得。

　　大家都知道machine.config和web.config,如果两者发生冲突，那么以web.config优先。

　　默认状态下，membership是采用SHA1的方法进行加密，然后采取一种机制，与passwordsalt进行再次加密，最后形成数据库中显示的密码。可见随着MD5加密的破解，微软对密码的安全也煞费苦心。

　　有的朋友不喜欢默认的SHA1加密形式，我们只需要在web.config中设置以下代码来覆盖machine.config中对密码的设置就好了：

＜machineKey
validationKey="AutoGenerate,IsolateApps"
decryptionKey="AutoGenerate,IsolateApps"
decryption="Auto"
validation="MD5/SHA1/Clear" /＞

　　其中：

　　Clear - 密码以明文形式存储。用户密码可与此值直接比较，而不需要进行进一步的转换。

　　MD5 -使用消息摘要 5 (MD5) 哈希摘要存储密码。为了验证凭据，将使用 MD5 算法对用户密码进行哈希运算并将计算出来的值与存储的值进行比较。使用此值时，从不存储或比较明文密码。此算法的性能比 SHA1 好。

　　SHA1 -使用 SHA1 哈希摘要存储密码。为了验证凭据，将使用 SHA1 算法对用户密码进行哈希运算并将计算出来的值与存储的值进行比较。从不存储明文密码。使用该算法可以获得比 MD5 算法高的安全性。

　　然而虽然MembershipUser提供了GetPassword 方法，但是这是后只有在加密形式设置成Clear,即密码在数据库中以明码的形式存在，才能得到密码。而ChangePassword必须要提供旧密码或者密码提示答案才可以修改。对用户管理造成了很大的不便。找了许多资料无解。顺便提带一下：微软的membership机制起源于csblog,并进行了一定的修改。

　　Csblog对密码的策略：首先对用户输入的密码进行加密（SHA1或者MD5）,然后根据系统自动生成的密匙再次对加密后的密码进行DES加密。不过我按照csblog 的方法进行加密的时候，形式相同，密码却不同，目前正在演就中。也欢迎大家共同讨论。

　　如果passwordsalt和password固定，那么用户密码肯定一定。所以目前我采取的一个方法就是给用户重新设置成固定密码的功能。

　　首先取得已知用户密码的passwordsalt和password,然后替换相应用户的passwordsalt和password字段。这时，用户的密码就已经恢复成已知的密码了。

　　不可否认，membership给我们开发中创造了很大的便利，其方便的Roles功能，对于我们进行权限管理的时候提供了很好的解决方案。2005许多功能均进化自csblog这优秀的开源项目,有兴趣者可以研究csblog,以进一步的了解membership的运作机制。限于篇幅，MSDN上边有做介绍的我就不再重复叙述。只介绍MSDN上没有列出的技巧跟我在项目开发中的一些心得。 ASP.NET 2.0为使用窗体身份验证的Web站点提供了重要的安全性优势。通过提供用户配置文件储备库以及对角色的支持，窗体身份验证将走出ASP.NET内行的视野，而得以更广泛地实现。

转载地址：http://www.cnblogs.com/hbreset/

解释：ASP.NET 2.0 中的窗体身份验证

本页内容

	目标
	概述
	IIS 身份验证
	ASP.NET 窗体身份验证
	Cookieless 窗体身份验证
	成员身份和登录控件
	Web 场方案
	其他资源
	反馈
	技术支持
	社区和新闻组
	投稿人与审阅者

目标

返回页首

概述

窗体身份验证使用用户登录到站点时创建的身份验证票，然后在整个站点内跟踪该用户。窗体身份验证票通常包含在一个 Cookie 中。然而，ASP.NET 2.0 版支持无 Cookie 窗体身份验证，结果是将票证传入查询字符串中。

如果用户请求一个需要经过身份验证的访问的页，且该用户以前没有登录过该站点，则该用户重定向到一个配置好的登录页。该登录页提示用户提供凭据（通常是用户名和密码）。然后，将这些凭据传递给服务器并针对用户存储（如 SQL Server 数据库）进行验证。在 ASP.NET 2.0 中，用户存储访问可由成员身份提供程序处理。对用户的凭据进行身份验证后，用户重定向到原来请求的页面。

窗体身份验证处理由 FormsAuthenticationModule 类实现，该类是一个参与常规 ASP.NET 页处理循环的 HTTP 模块。本文阐释 ASP.NET 2.0 中窗体身份验证的工作机制。

返回页首

IIS 身份验证

ASP.NET 身份验证分为两个步骤。首先，Internet 信息服务 (IIS) 对用户进行身份验证，并创建一个 Windows 令牌来表示该用户。IIS 通过查看 IIS 元数据库设置，确定应该对特定应用程序使用的身份验证模式。如果 IIS 配置为使用匿名身份验证，则为 IUSR_MACHINE 帐户生成一个令牌并用它表示匿名用户。然后，IIS 将该令牌传递给 ASP.NET。

其次，ASP.NET 执行自己的身份验证。所使用的身份验证方法由 authentication 元素的 mode 属性指定。以下身份验证配置指定 ASP.NET 使用 FormsAuthenticationModule 类：

<authentication mode="Forms" />

注 由于窗体身份验证不依赖于 IIS 身份验证，因此如果要在 ASP.NET 应用程序中使用窗体身份验证，则应该在 IIS 中为应用程序配置匿名访问。

返回页首

ASP.NET 窗体身份验证

ASP.NET 窗体身份验证在 IIS 身份验证完成后发生。可以使用 forms 元素配置窗体身份验证。

窗体身份验证配置

以下配置文件片段显示窗体身份验证的默认属性值。

<system.web>
<authentication mode="Forms">
<forms loginUrl="Login.aspx"
protection="All"
timeout="30"
name=".ASPXAUTH"
path="/"
requireSSL="false"
slidingExpiration="true"
defaultUrl="default.aspx"
cookieless="UseDeviceProfile"
enableCrossAppRedirects="false" />
</authentication>
</system.web>

下面是对默认属性值的描述：

授权配置

在 IIS 中，对所有使用窗体身份验证的应用程序启用异步访问。UrlAuthorizationModule 类用于帮助确保只有经过身份验证的用户才能访问页。

可以使用 authorization 元素配置 UrlAuthorizationModule，如以下示例所示。

<system.web>
<authorization>
<deny users="?" />
</authorization>
</system.web>

使用该设置将拒绝所有未经过身份验证的用户访问应用程序中的任何页。如果未经身份验证的用户试图访问某页，窗体身份验证模块将该用户重定向到 forms 元素的 loginUrl 属性指定的登录页。

窗体身份验证控制流

图 1 显示窗体身份验证期间出现的事件顺序。

图 1. 窗体身份验证控制流

302 Found Location:
            http://localhost/FormsAuthTest/login.aspx?RETURNURL=%2fFormAuthTest%2fDefault.aspx
            

if (Membership.ValidateUser(userName.Text, password.Text))
            {
            if (Request.QueryString["ReturnUrl"] != null)
            {
            FormsAuthentication.RedirectFromLoginPage(userName.Text, false);
            }
            else
            {
            FormsAuthentication.SetAuthCookie(userName.Text, false);
            }
            }
            else
            {
            Response.Write("Invalid UserID and Password");
            }
            

302 Found Location:
            http://localhost/TestSample/default.aspx
            

FormsAuthenticationModule

ASP.NET 2.0 在计算机级 Web.config 文件中定义了一组 HTTP 模块，包括大量身份验证模块，如下所示：

<httpModules>
...
<add name="WindowsAuthentication"
type="System.Web.Security.WindowsAuthenticationModule" />
<add name="FormsAuthentication"
type="System.Web.Security.FormsAuthenticationModule" />
<add name="PassportAuthentication"
type="System.Web.Security.PassportAuthenticationModule" />
...
</httpModules>

每个请求只能使用一个身份验证模块。所使用的身份验证模块取决于 authentication 元素（通常位于应用程序的虚拟目录中的 Web.config 文件中）指定了哪种身份验证模式。

当 Web.config 文件中包含以下元素时，激活 FormsAuthenticationModule 类。

<authentication mode="Forms" />

FormsAuthenticationModule 类构造一个 GenericPrincipal 对象并将其存储在 HTTP 上下文中。GenericPrincipal 对象保存对一个 FormsIdentity 实例的引用，该实例代表当前经过身份验证的用户。应该允许窗体身份验证为您管理这些任务。如果应用程序有特定要求（例如，将 User 属性设置为一个实现 IPrincipal 接口的自定义类），则该应用程序应该处理 PostAuthenticate 事件。FormsAuthenticationModule 验证了窗体身份验证 Cookie 并创建了 GenericPrincipal 和 FormsIdentity 对象之后，会发生 PostAuthenticate 事件。在该代码中，可以构造一个包装 FormsIdentity 对象的自定义 IPrincipal 对象，然后将它存储在 HttpContext. User 属性中。

注 如果执行了这一操作，还需要设置 Thread.CurrentPrincipal 属性上的 IPrincipal 引用，以确保 HttpContext 对象和该线程指向相同的身份验证信息。

窗体身份验证 Cookie

调用 FormsAuthentication.SetAuthCookie 或FormsAuthentication.RedirectFromLoginPage 方法时，FormsAuthentication 类自动创建身份验证 Cookie。

典型的窗体身份验证 Cookie 中包括以下属性：

创建身份验证 Cookie

通过 FormsAuthentication 类创建身份验证 Cookie，如下所示。用户经过验证后，FormsAuthentication 类在内部创建一个 FormsAuthenticationTicket 对象，方法是指定 Cookie 名、Cookie 版本、目录路径、Cookie 颁发日期；Cookie 到期日期、是否应该保留 Cookie，以及用户定义的数据（可选）。

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
"userName",
DateTime.Now,
DateTime.Now.AddMinutes(30), // value of time out property
false, // Value of IsPersistent property
String.Empty,
FormsAuthentication.FormsCookiePath);

接下来，如果 forms 元素的 protection 属性设置为 All 或 Encryption，则窗体身份验证使用 Encrypt 方法对窗体身份验证票进行加密和签名。

string encryptedTicket = FormsAuthentication.Encrypt(ticket);

以下文本显示了当 protection 属性设置为 All 时使用的过程：

HttpCookie authCookie = new HttpCookie(
            FormsAuthentication.FormsCookieName,
            encryptedTicket);
            

authCookie.Secure = true;
            

Response.Cookies.Add(authCookie);
            

每次在身份验证之后接收一个后续请求时，FormsAuthenticationModule 类都会从身份验证 Cookie 中检索身份验证票，对其进行解密，计算哈希值，并比较该 MAC 值，以帮助确保该 Cookie 未被篡改。最后，验证该窗体身份验证票中包含的到期时间。

注 ASP.NET 并不依赖于 Cookie 的到期日期，因为该时间很容易伪造。

角色授权

在 ASP.NET 2.0 中，角色授权已经得到简化。对用户进行身份验证或者将角色细节添加到身份验证 Cookie 时，不再需要检索角色信息。.NET Framework 2.0 包括一个角色管理 API，它使您能够创建和删除角色，将用户添加到角色以及从角色删除用户。该角色管理 API 将其数据存储在一个基础数据存储中，它通过针对该数据存储的适当角色提供程序访问该存储。以下角色提供程序为 .NET Framework 2.0 附带，可以与窗体身份验证一起使用：

有关如何使用角色管理 API 的详细信息，请参阅 How To: Use Role Manager in ASP.NET 2.0。

返回页首

Cookieless 窗体身份验证

ASP.NET 2.0 支持 cookieless 窗体身份验证。该功能由 forms 元素的 cookieless 属性控制。该属性可以设置为以下四个值之一：

如果应用程序配置为使用 cookieless 窗体身份验证，并且正在使用 FormsAuthentication.RedirectFromLoginPage 方法，则 FormsAuthenticationModule 类自动设置 URL 中的窗体身份验证票。以下代码示例显示了典型 URL 在重写后的外观：

http://localhost/CookielessFormsAuthTest/(F(-k9DcsrIY4CAW81Rbju8KRnJ5o_gOQe0I1E_jNJ

LYm74izyOJK8GWdfoebgePJTEws0Pci7fHgTOUFTJe9jvgA2))/Test.aspx

括号中的 URL 部分包含 Cookie 通常将包含的数据。该数据在请求处理过程中由 ASP.NET 删除。该步骤由 ASP.NET ISAPI 筛选器执行，而不是在 HttpModule 类中执行。如果从一个 .aspx 页读取 Request.Path 属性，您在 URL 中不会看到任何额外的信息。如果重定向请求，URL 将自动重写。

注 难以保证 URL 中包含的身份验证票的安全。当安全性极为重要时，您应该使用 Cookie 存储身份验证票。

返回页首

成员身份和登录控件

ASP.NET 2.0 引入了成员身份功能和一组登录 Web 服务器控件，它们简化了使用窗体身份验证的应用程序的实现。

成员身份为应用程序用户提供凭据存储和管理。它还提供一个成员身份 API，可以在使用窗体身份验证时简化用户凭据的验证任务。该成员身份功能构建于提供程序模型之上。该模型允许实现和配置指向不同用户存储的不同提供程序。ASP.NET 2.0 包括以下成员关系提供程序：

还可以添加对自定义用户存储的支持。例如，可以添加对其他轻量级目录访问协议 (LDAP) 目录或其他现有公共标识存储的支持。为此，创建一个从 MembershipProvider 抽象基类继承的自定义提供程序。

ASP.NET 登录控件自动使用成员身份和窗体身份验证，并封装提示用户输入凭据，验证用户，恢复或替换密码等所需的逻辑。实际上，ASP.NET 登录控件在窗体身份验证和成员身份上提供一个抽象层，并且取代了您使用窗体身份验证时通常必须进行的大多数或全部工作。

有关使用成员身份功能和登录控件的详细信息，请参阅 How To: Use Membership in ASP.NET 2.0。

返回页首

Web 场方案

在 Web 场中，无法确保哪个服务器将处理连续请求。如果用户在一台服务器上经过身份验证，但下一个请求在另一台服务器上进行，则身份验证票将导致验证失败并请求用户重新进行身份验证。

machineKey 元素中的 validationKey 和 decryptionKey 属性用于对窗体身份验证票进行哈希操作和加密。这些属性的默认值为 AutoGenerate.IsolateApps。这些密钥是针对每个应用程序自动生成的，在每台服务器上都不同。因此，在一台计算机上加密的身份验证票无法在 Web 场中的另一台计算机或者同一台 Web 服务器上的另一个应用程序中进行解密和验证。

为了解决该问题， Web 场中所有计算机上的 validationKey 和 decryptionKey 值都必须相同。有关配置 machineKey 元素的详细信息，请参阅 How To: Configure MachineKey in ASP.NET 2.0。

返回页首

其他资源

　　4）系统会允许你对某一用户进行有关规则的详细设置，比如允许某一用户行驶或拒绝使用某角色等。本文将忽略不用，继续选NEXT进下一步，此时，完成了系统的初步配置了。

　　此时，AccessMembershipProvider会自动在当前工程的data目录下，创建一个AspNetDB的ACCESS数据文件，打开它，会发现自动生成了相关的表格，比如有aspnet_users表，存放用户的基本信息，aspnet_membership表，存放用户加密的密码和其他信息。

　　在进行完上面的步骤后，下面我们开始认识并使用asp.net 2.0中的登陆控件。这些控件在工具箱的Login选项组中，共有Login, LoginView, PasswordRecovery, LoginStatus, LoginName, CreateUserWizard, ChangePassword 共7个，下面逐一介绍：

　Login控件

　　拖拉一个Login控件到窗体中，就发现和平时见到的登陆窗口差不多了，在该控件的属性窗口中，比较重要的是DestinationPageUrl 属性，该属性将指定用户在登陆后跳转的页面，而FailureText表示登陆失败后提示的文本，CreateUserText表示创建新用户的提示文本，PasswordRecoveryText表示提示密码的文本，PasswordRecoveryUrl表示实现密码提示恢复功能的链接，此外可以设置其很多属性，比如显示用户名，密码的文本，登陆按钮PasswordRecoveryUrl的文本等，都十分简单，大家可以去试一下，初步设置属性后的登陆框如下图：

CreateUserWizard控件 　　使用该控件，可以很方便地一步步引导用户进行注册。拖拉其到设计窗体中，如下图： 　　当然，你可以对其属性进行更多地设置，比如，设置HeaderTemplate(头模版),StartNavigationTemplate(开始注册模版)，FinishNavigationTemplate(结束注册模版)等，具体设置可以参考在线帮助。而该控件还允许当注册成功后向用户发邮件，比如： ＜asp:CreateUserWizard id="CreateUserWizard1" runat="server"＞ ＜MailDefinition BodyFileName="NewUserEmail.txt" From="welcome@dorknozzle.com" Subject="Welcome to the Dorknozzle site!"/＞ ＜/asp:CreateUserWizard＞ 　　而发邮件则需要在web.config文件中配置，比如： ＜configuration＞ ＜system.web＞ ＜authentication mode="Forms"/＞ ＜smtpMail serverName="Localhost"/＞ ＜/system.web＞ ＜/configuration＞ 　　PasswordRecovery密码恢复控件 　　该控件可以实现简单地密码提示恢复功能，并将密码email给用户，代码如下： ＜asp:PasswordRecovery id="prForgotPass" runat="server"＞ ＜/asp:PasswordRecovery＞ 　　实现时如下图所示： 　　用户输入用户名后，则需要输入密码恢复的答案，如下图： 　　并在该控件中设置将恢复后的密码EMAIL给用户 ＜asp:PasswordRecovery id="prForgotPass" runat="server"＞ ＜MailDefinition BodyFileName="forgotpassword.txt" From="helpdesk@dorknozzle.com" Subject="Word has it, you forgot your password?"/＞ ＜/asp:PasswordRecovery＞ 　　ChangePassword 更改密码控件 　　更改密码控件可以很方便地实现密码的更改，包括一个 MailDefinition 属性。如果将值赋给 MailDefinition 属性，则 ChangePassword 控件在密码成功更改时将自动向用户发送一个电子邮件。 　　 　　直接使用Membership API 　　有时候，需要对成员身份进行更高级别（比 Web 站点管理工具或 Login 控件提供的控制级别高）的控制。在这些情况下，可以直接使用 Membership API。 　　Membership API 是通过 Membership 类公开的。Membership 类包含的方法使您能够完成以下工作：创建新用户；更改密码；搜索与特定条件匹配的用户等等。在幕后，Login 控件使用这些方法与已配置的成员身份提供程序进行交互。 　　下面列出了 Membership 类的一些比较重要的方法： 　　　CreateUser — 使您能够创建新用户。 　　　DeleteUser — 使您能够删除现有用户。 　　　FindUsersByEmail — 使您能够检索与某个特定的电子邮件地址匹配的用户集合。 　　　FindUsersByName — 使您能够检索与某个特定的用户名匹配的用户集合。 　　　GeneratePassword — 使您能够生成随机密码。 　　　GetAllUsers — 使您能够检索成员身份提供程序中存储的所有用户。 　　　GetNumberOfUsersOnline — 使您能够返回当前正在访问 Web 应用程序的用户数。 　　　GetUser — 使您能够检索与当前用户相关联的成员身份信息，或者使您能够检索与某个已经提供用户名的用户相关联的成员身份信息。 　　　GetUsernameByEmail — 使您能够检索具有某个特定电子邮件地址的用户的用户名。 　　　UpdateUser — 使您能够更新特定用户的信息。 　　　ValidateUser — 使您能够根据成员身份提供程序对用户进行身份验证。 　　最后，我们利用该API，实现稍微复杂的功能。在index.aspx中，添加一个label控件，显示在线的人数，代码如下： Number of Users Online: ＜asp:Label id="lblNumUsersOnline" runat="server"/＞ 　　在PAGE-LOAD事件中，增加代码如下： Sub Page_Load(s As Object, e As EventArgs) Handles MyBase.Load lblNumUsersOnline.Text = _ Membership.GetNumberOfUsersOnline().ToString() End Sub 　　则可以显示在线人数。我们并且再添加一个gridview,显示所有用户的在线状况，是否允许某种权限和相关的信息。 ＜asp:GridView id="gvUsers" runat="server" AutoGenerateColumns="False"＞ ＜Columns＞ ＜asp:BoundField HeaderText="Username" DataField="Username" /＞ ＜asp:BoundField HeaderText="Is Online?" DataField="IsOnline" /＞ ＜asp:BoundField HeaderText="Is Approved?" DataField="IsApproved" /＞ ＜asp:BoundField HeaderText="Email" DataField="Email" /＞ ＜/Columns＞ ＜/asp:GridView＞ 　　并将gridview绑定： gvUsers.DataSource = Membership.GetAllUsers() ； gvUsers.DataBind()； 　　最后运行结果如下图： 　　总结：　本文以实际例子，介绍了asp.net 2.0中新增加的登陆系列控件的简单用法以及新增加的Membership API的简单使用，更多的请参考MSDN或正式版时的有关介绍。

从严格意义上来说，ASP.NET 2.0 的成员资格、角色管理授权和 .NET 角色安全性没有多大关系。只不过，Microsoft 替我们完成了一些原本需要我们自己进行的工作而已。

在这两种新的技术中使用的"提供程序模型"倒是值得我们好好学习一下，因为这个 IoC 概念非常相似。

成员资格

成员资格提供了通用的用户管理功能，诸如注册、登录、找回密码等，加上与之配套的可视化控件，我们“几乎”不用在编写额外的代码就可以工作。实际上真是如此吗？MemebershipUser 属性太少，显然不大适合我们的商业应用；注册和登录控件有缺乏验证码，缺乏安全性；…… 当然我们还可以使用自定义验证和提供程序，不过如此一来还不如自己参考"提供者模型"开发一套呢，毕竟独立的 Passport 才是我们所需要的，更不要说和既有系统进行整合了，总之 ASP.NET 提供的这个新功能，食之无味，弃之可惜。有关成员资格和角色管理的使用不是本文的重点，详情可参考 MSDN 文档。

成员资格由 Membership、MembershipUser、MembershipProvider 组成，Membership 是个静态类，为用户提供了大量用户相关的操作方法，MembershipUser 则是用户实体类，除了用户属性外也有一些用户自身的操作方法，而 MembershipProvider 自然就是提供程序的基础抽象类了，它规范了提供程序的接口。

我们分析一下 Membership 代码(局部代码)，看看如何获取真实的目标提供程序对象的。其实过程也很简单，读取配置获取类型信息，然后用反射创建目标提供程序对象实例。

System.System.Web.Security.Membership

复制C#源代码
// 我们从 ValidateUser 方法入手。
public static bool ValidateUser(string username, string password)
{
    // 通过 Provider 属性获取提供程序对象
    return Membership.Provider.ValidateUser(username, password);
}
public static MembershipProvider Provider
{
get
{
        // 应该是通过 Initialize() 方法获取，并赋值给 s_Provider 变量的。
        Membership.Initialize();
return Membership.s_Provider;
}
}
private static void Initialize()
{
    // 从配置文件中读取配置信息
    RuntimeConfig config1 = RuntimeConfig.GetAppConfig();
MembershipSection section1 = config1.Membership;
Membership.s_Providers = new MembershipProviderCollection();
    // 使用 ProvidersHelper.InstantiateProviders 方法从配置信息中读取设置。
    ProvidersHelper.InstantiateProviders(section1.Providers, Membership.s_Providers, typeof(MembershipProvider));
    // 将缺省提供程序对象赋值给 s_Provider 变量。
    Membership.s_Provider = Membership.s_Providers[section1.DefaultProvider];
Membership.s_Initialized = true;
}
public static void ProvidersHelper.InstantiateProviders(ProviderSettingsCollection configProviders, ProviderCollection providers, Type providerType)
{
    // 循环读取配置信息，并创建提供程序对象。
    foreach (ProviderSettings settings1 in configProviders)
{
providers.Add(ProvidersHelper.InstantiateProvider(settings1, providerType));
}
}
public static ProviderBase ProvidersHelper.InstantiateProvider(ProviderSettings providerSettings, Type providerType)
{
ProviderBase base1 = null;
try
{
        // 调用 HttpRuntime.CreatePublicInstance 创建提供程序对象。
        base1 = (ProviderBase) HttpRuntime.CreatePublicInstance(type1);
}
catch (Exception exception1)
{
}
return base1;
}
internal static object HttpRuntime.CreatePublicInstance(Type type)
{
    // 利用反射创建对象
    return Activator.CreateInstance(type);
}

下面我们分析一下 Login 控件的源码，我们会发现其内部不过是自动调用 Membership 和 MembershipProvider 进行操作而已。

System.Web.UI.WebControls.Login

复制C#源代码
private void AttemptLogin()
{
if ((this.Page == null) || this.Page.IsValid)
{
LoginCancelEventArgs args1 = new LoginCancelEventArgs();
this.OnLoggingIn(args1);
if (!args1.Cancel)
{
AuthenticateEventArgs args2 = new AuthenticateEventArgs();
            // 调用核心代码
            this.OnAuthenticate(args2);
            // 看到了什么？标准的身份验证代码。详情可以查看上一篇Blog。
            if (args2.Authenticated)
{
FormsAuthentication.SetAuthCookie(this.UserNameInternal, this.RememberMeSet);
this.OnLoggedIn(EventArgs.Empty);
this.Page.Response.Redirect(this.GetRedirectUrl(), false);
}
else
{
this.OnLoginError(EventArgs.Empty);
if (this.FailureAction == LoginFailureAction.RedirectToLoginPage)
{
FormsAuthentication.RedirectToLoginPage("loginfailure=1");
}
ITextControl control1 = (ITextControl) this.TemplateContainer.FailureTextLabel;
if (control1 != null)
{
control1.Text = this.FailureText;
}
}
}
}
}
protected virtual void OnAuthenticate(AuthenticateEventArgs e)
{
AuthenticateEventHandler handler1 = (AuthenticateEventHandler) base.Events[Login.EventAuthenticate];
if (handler1 != null)
{
        // 用户使用了自定义身份验证服务
        handler1(this, e);
}
else
{
        // 使用成员资格提供程序
        this.AuthenticateUsingMembershipProvider(e);
}
}
private void AuthenticateUsingMembershipProvider(AuthenticateEventArgs e)
{
    // 使用 LoginUtil.GetProvider 获取成员资格提供程序对象，并调用其 ValidateUser 进行身份验证。
    e.Authenticated = LoginUtil.GetProvider(this.MembershipProvider).ValidateUser(this.UserNameInternal, this.PasswordInternal);
}
internal static LoginUtil.MembershipProvider GetProvider(string providerName)
{
if (string.IsNullOrEmpty(providerName))
{
return Membership.Provider;
}
    // 调用 Membership 相关属性，获取提供程序对象。
    MembershipProvider provider1 = Membership.Providers[providerName];
if (provider1 == null)
{
throw new HttpException(SR.GetString("WebControl_CantFindProvider"));
}
return provider1;
}

角色管理授权

在实际开发中，除了用户(User)和角色(Role)以外，我们还需要权限(Permission)这个概念。角色更像是用户组(Users Group)，用户可以加入一个或多个用户组，每个用户组又拥有多个权限。有了权限，我们就可以动态赋予用户组不同的权力，比如我们可以临时授予 A 组执行 XX 的权力，三天后我们再取消该权力，显然没有权限的设计会缺乏灵活性。

ASP.NET 2.0 的角色管理授权，由 RoleManagerModule、Roles、RoleProvider、RolePrincipa 共同组成。系统会自动载入 RoleManagerModule 这个 HttpModule，Roles 为用户提供角色相关的操作方法，而 RoleProvider 自然是提供程序的抽象类了。至于 RolePrincipa 干什么用，看看下面的代码自然就明白了。

System.Web.Security.RoleManagerModule

复制C#源代码
private void OnEnter(object source, EventArgs eventArgs)
{
    // ...
    // 注意下面的代码， RoleManagerModule 使用 RolePrincipal 替代了缺省的 GenericPrincipal。
    if (!(context1.User is RolePrincipal))
{
context1.User = new RolePrincipal(context1.User.Identity);
}
}

转载地址：http://www.chenjiliang.com/Article/View.aspx?ArticleID=1428&TypeID=84