现今,很多Web2.0网站都使用Email地址作为登录用户名,其有如下优点:
1. 不易重复。用户名经常会重复,导致用户不得不在多个网站之间使用多种不同的用户名,不易记忆和管理;而Email地址具有唯一性。
2. 易于记忆。用户常用的Email地址一般不会超过三个,所以即使忘记了是哪一个,也能很快试出来。
3. 不易被破解。用户名在网站中通常都是对所有人可见的,这就会导致一些别有用心的人关注某个特定用户,骗取或暴力破解其账户;而Email地址在网站中通常都是保密的,在不知道某人的Email地址之前,破解就无从谈起,极大地提高了账户安全性。
...
现今,很多Web2.0网站都使用Email地址作为登录用户名,其有如下优点:
1. 不易重复。用户名经常会重复,导致用户不得不在多个网站之间使用多种不同的用户名,不易记忆和管理;而Email地址具有唯一性。
2. 易于记忆。用户常用的Email地址一般不会超过三个,所以即使忘记了是哪一个,也能很快试出来。
3. 不易被破解。用户名在网站中通常都是对所有人可见的,这就会导致一些别有用心的人关注某个特定用户,骗取或暴力破解其账户;而Email地址在网站中通常都是保密的,在不知道某人的Email地址之前,破解就无从谈起,极大地提高了账户安全性。
有些网站采用了用户名、Email地址都可登录的形式,这种形式的安全性比用户名/密码登录形式更低,但是比较方便于用户,仅适合于账户安全性无关紧要的网站使用。
在ASP.Net的自定义用户管理方案中,实现Email登录是很简单的,一切都由自己掌控。
而关于结合Membership和ASP.Net 2.0登录控件的实现方案,我在网上一直都没有找到相关文章,想来应该是很简单:
1. 定制登录控件的模板,将“用户名”的标签改为“电子邮件地址”:
2.添加登录控件的Authenticate事件代理,在其中进行自定义的验证,通过后将e.Authenticated 设为true:
但是这样下来登录是没问题了,登录后却会在用户名处都显示为Email地址,调用Page.User.Identity.Name属性,显示的也是Email地址,这样很别扭,也不方便。
而即使在事件处理中重设Login1.UserName为Email所对应的用户名也无济于事。
经过研究,我发现了一种较为妥当的方法,即通过FormsAuthentication类自行实现登录:
protected void Login1_Authenticate(object sender, AuthenticateEventArgs e)
{
var name = Membership.GetUserNameByEmail(Login1.UserName);
if (Membership.ValidateUser(name, Login1.Password)) FormsAuthentication.RedirectFromLoginPage(name, Login1.RememberMeSet);
}
这样就可完美解决上述问题,推荐大家使用。
下载本文的PDF版本:http://www.box.net/shared/0bhfud0qjz
转载请遵循此协议:署名 - 非商业用途 - 保持一致
并保留此链接:http://skyd.cnblogs.com/
