ASP.NET 自带的用户登录程序很方便,但我们有时希望用自己的登录程序更灵活,或者我们要做单点登录,兼容 ASP.NET 自带的登录程序。
写在之前
约定一下,名称空间是 System.Web.Security。
首先,我们要启用 Forms 验证
<configuration
>
<system.web
>
<authentication
mode="Forms"
>
</authentication
>
</configuration
>
记录登录信息
当我们的登录程序判断用户登录成功后,就要把这个会话记录下来,在 ASP 中一般用 Session,在 ASP.NET 中默认用 Cookie。
FormsAuthenticationTicket ticket =
new FormsAuthenticationTicket(1,
"Admin",
DateTime.Now, DateTime.Now.AddDays(7),
false,
"自定义数据");
HttpCookie cookie =
new HttpCookie(FormsAuthentication.FormsCookieName, FormsAuthentication.Encrypt(ticket));
HttpContext.Current.Response.Cookies.Add(cookie);
Response.Write(User.Identity.IsAuthenticated);
// 本页中仍为 false,下页中才会为 true。
如上代码记录了当前登录的用户为 Admin,如果用户没关闭浏览器,那么这个会话会一直保持七天。
判断是否登录和登录名
User.Identity.IsAuthenticated、User.Identity.Name
不要在记录登录信息的页面判断,因为页面一开始从客户端获取 Cookie 信息,由于那时还没有执行到记录登录信息的程序,所以没有关于登录成功的 Cookie 信息。后面执行到了记录登录信息的程序,也将 Cookie 写入了客户端,但 ASP.NET 此时已经不会去取这个 Cookie 了,只有在下一个页面,或刷新本页面后,才会获取到登录信息的 Cookie。
注销
FormsAuthentication.SignOut();
// Response.Cookies.Clear(); // 后面不能再有涉及 Cookie 的操作,否则退出不了。
要注意的是,后面就不要去画蛇添足地去清除什么 Cookie 了,那样返回导致退出不了。
获取自定义数据
前面谈到可以用 User.Identity.IsAuthenticated、User.Identity.Name 判断用户是否登录、获取用户名。但是我还想要用户的更多信息,比如角色,怎么办呢?一种方法是根据用户名到数据库中去找。还有一种方法是将这些信息在登录成功后直接记录到 FormsAuthenticationTicket 的最后一个参数中。
记录简单,关键是如何取。
if (!HttpContext.Current.User.Identity.IsAuthenticated)
{
return result;
}
FormsIdentity fi = (FormsIdentity)HttpContext.Current.User.Identity;
// 须是 Forms 验证,需要已经 IsAuthenticated 才能转换为 FormsIdentity
FormsAuthenticationTicket ticket = fi.Ticket;
string userData = ticket.UserData;
这样就把 userData 取出来了,userData 的格式、约定就由您自己决定了。