asp.net 配置文件（Machine.config、Web.config、App.config）

Machine.config
1.该文件在Windows目录下\Microsoft.net\framework\[version]\Config\
2.为了提高性能，该文件只包含不同于默认值的设置。并且定义了配置文件项可包含的配置节，就像是一个基础的定义。可以使用System.Configuration命名空间中的类读取配置文件
3.Configuration元素的主要子元素
appSettiongs:包含自定义的应用程序设置
configSections：申明自定义设置的配置节。如果该元素存在，必须是configuration节　　                        点的第一个子节点。它可以直接包含sectionGroup和section子节。
                        sectionGroup用于标记和组织几个子节，通常表示要应用配置设置的
                        命名空间。name属性表示正在声明的节名称，type属性指示从配置文
                        件读取该节内容并对它进行解析的托管类的名称，值是一个逗号隔开id
                        字符串，包括类和包含它的程序集的全名。还有三个专用元素
                        add,remove,clear(清除以前的设置，即不继承)
connectionStrings：列出对应用程序有用的预定义的连接字符串
configProtectedData：包含已被加密的配置节的加密数据
runtime：运行时设置架构，描述那些配置程序集绑定和运行时行为的元素，比如　　             probing和assembly redirect
startup：启动设置架构，包含那些规定必须使用哪个版本的公共语言运行库的元素
system.diagnostics：描述那些规定跟踪开关和监听器(收集、存储和传递消息)的元素
system.net：网络架构，规定那些指示.net framework如何连接到Internet的元素，包括默认的代理、身份验证模块和连接参数
system.runtime.remoting：设置架构，配置利用.net remoting的客户端和服务端应用程序
system.web：包含那些控制asp.net应用程序的各方面行为的元素
4.system.web元素的主要子元素
anonymousIdentification：配置未经身份验证的用户的标识，只可在机器级和应用程序级重写
authentication：设置身份验证机制，只可在机器级和应用程序级重写
authorization：指示已授权的用户
browserCaps：列出已知的浏览器能力
clientTarget：列出已预定义的客户目标
compilation：批编译的设置
customErrors：自定义的错误页面设置，只能在Machine.config或一级web.config文件中设置，不能多重继承
deployment：指示如何部署应用程序
deviceFilters:列出已知的移动浏览器能力
globalization：用于应用程序本地化设置
healthMonitoring：配置一个用于运行状况监视的应用程序，只可在机器级和应用程序级重写
hostingEnvironment：定义控制应用程序承载环境的行为的配置，只可在机器级和应用程序级重写
httpCookies：配置cookie的属性
httpHandlers：列出已注册的http处理程序
httpModules：列出已注册的http模块
httpRuntime：列出http运行库设置
identity：设置个性化
machineKey：敏感数据的加密密钥
membership：通过asp.net成员资格定义用户身份验证，只可在机器级和应用程序级重写

< membership 
   defaultProvider ="MyMemberShip" //可选属性，默认为AspNetSqlProfileProvider 
  userlsOnlineTimeWindow ="number of minutes"  //可选属性，指定账户的上次活动时间戳之后的分钟数，在这段时间                                               内，该用户被视为处于联机状态，默认是15分钟
  hashAlgorithmType ="SHA1" >  //可选属性，指定对密码值的加密算法，该值对应于cryptoNameMapping节中nameEntry元素的                              name属性。默认为SHA1.
< providers >
   < add  name ="MyMemberShip"  type ="MyMemberShip"  requiresQuestionAndAnswer ="true"  connectionString ="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=...." >
   </ providers >
</ membership >

 

 

//  必须实现MembershipProvider虚拟类的所有成员方法
public   class  MymemberShip : MembershipProvider
    {
         private   string  appName  =   " TestMembershipProvider " ;
         // 设置密码问题
         private   bool  _requiresQuestionAndAnswer;
         // 最小密码长度
         private   int  _minRequiredPasswordLength;
         public  MymemberShip()
        {  // 构造函数逻辑
        }
         string  connectionString  =   " ... " ;
         public   override   string  ApplicationName
        {
             get
            {  return  appName; }
             set
            { appName = ..; }
        }
        
         // 验证用户
         public   override   bool  ValidateUser( string  username,  string  password)
        {
             using  (OleDbConnection conn = new  OleDbConnection(connectionstring))
            {
                OleDbCommand comm  =   new  OleDbCommand();
                comm.CommandText  =   " select count(0) from users where u_name=@name and u_pwd=@pwd " ;
                comm.Parameters.AddWithValue( " @name " ,username);
                comm.Parameters.AddWithValue( " @pwd " , password);
                comm.Connection  =  conn;
                conn.Open();
                 return  (( int )comm.ExecuteScalar()) > 0 ? true : false ;
                
            }
        }
         // 修改密码
         public   override   bool  ChangePassword( string  username,  string  oldPassword,  string  newPassword)
        {
             using  (OleDbConnection conn = new  OleDbConnection(connectionString))
            {
                OleDbCommand comm  =   new  OleDbCommand();
                 // 最后改成参数化，以防Sql注入
                comm.CommandText  =   " update users set u_pwd=' "   +  newPassword  +  
                     " 'where u_name=' "   +  username  +   " 'and u_pwd=' "   +  oldPassword  +  
                     " ' " ;
                comm.Connection  =  conn;
                 if  (conn.State == ConnectionState.Closed)
                {

                }

            };
        }
    }
    

 

mobileControls：列出web控件的设备特有的类适配器
pages：页面的控件特性
processModel：配置进程模型
profile：定义用户配置文件数据模型的设置，只可在机器级和应用程序级重写

< profile
  enabled ="true"  是否启用profile
 inherits ="fully qualified type reference" 包含从ProfileBase抽象类派生的自定义类型的类型引用
 automaticSaveEnabled ="true" 指定页面执行完自动保存profile
 defaultProvider ="SqlProfileProvider" > 配置文件提供程序名默认为AspNetSqlProfileProvider
  < properties > 必选元素，定义profile属性和属性组集合. </ properties >
    < add  name ="Name"  serializeAs ="Xml" /> //在程序中对属性赋值，就会自动记录到数据库
           < add  name ="Pwd"  serializeAs ="Xml" />
  < providers > 可选元素，定义配置文件提供程序的集合.
           < add  name ="SqlProfileProvider"  type ="System.Web.Profile.SqlProfileProvider"  connectionStringName ="SqlConnectionString"  applicationName ="/"   />
  </ providers >
</ profile >

 

protocols：规定asp.net web服务能使用的协议，只可在机器级和应用程序级重写
roleManager：定义角色管理的设置，只可在机器级和应用程序级重写

< roleManager  cacheRoleslnCookie ="true|false"
  cookieName ="name"  cookiePath ="/"
  cookieProtection ="All|Encryption|Validation|None
  cookieRequireSSL=" true|false"
  cookieSlidingExpiration ="true|false"
  cookieTimeout ="number of minutes"
  createPersistentCookie ="true|false"
  defaultProvider ="provider name"
  domain ="cookie domain"
  enabled ="true|false"
  maxCachedResults ="maximum number of role names cached" >
< provider ></ provider >
</ rolemanager >

//location节点设置用户角色访问权限，对应的API类是ConfigurationLocation，可通过此类读取配置信息
< location  path ="admin.aspx" >
   < system.web >
     < authorization >
       < allow  roles ="admin" />
       < deny  users ="*" />
     </ authorization >
   </ system.web >
</ location >
< location  path ="guest.aspx" >
   < system.web >
     < authorization >
       < allow  roles ="guest" />
       < deny  users ="*" />
     </ authorization >
   </ system.web >
</ location >
< location  path ="changePassword.aspx" >
   < system.web >
     < authorization >
       < deny  users ="?" /> //拒绝匿名用户
     </ authorization >
   </ system.web >
</ location >

 

securityPolicy：定义允许的信任级别，只可在机器级和应用程序级重写
sessionState：配置Session对象，只可在机器级和应用程序级重写
siteMap：定义用来支持导航基础结构的设置，只可在机器级和应用程序级重写
trace：配置跟踪系统
trust：定义默认的信用级别，只可在机器级和应用程序级重写
webControls：定位客户端脚本
webParts：定义Web Parts的设置
webServices：配置Web服务
xhtmlConformance：定义xhtml一致性的设置

 

Web.Config
1.必须包含在<Configuration></Configuration>标记对中。此文件包括2部分，第一部分是模块处理方式声明，包含在<Configsections></Configsections>标记对中;第二部分才是真正的设置内容:
<configuration>
  <configSections>
    <section name="appSettings" type="System.Web.Configuration.NameValueSectionHandler"/>
    <section name="sessionState" type="System.Web.Configuration.SessionStateConfigHandler"/>
  </configSections>
  <appSettings>
    <add key="key" value="value"/>
  </appSettings>
</configuragion>

2.应用程序专用设置

<? xml version="1.0" ?>
< configuration  >
   < configSections >
     < section  name ="database"  type ="System.Web.Configuration.DictionarySectionHandler" />
   </ configSections >
   < database >
     < add  key ="edu"  value ="server=.;uid=sa;pwd='';database='edu'" />
   </ database >
</ configuration >

 

在程序中取出配置值的语句是：Context.GetConfig("key")("value")
3.中文显示,如果要求整个站点都显示中文，则将Web.Config文件放在根目录下
  <system.web>
    <globalization requestEncoding ="UTF-8" responseEncoding ="UTF-8"/>
  </system.web>
4.Session超时设置，注意该设置只能在根目录即全局中定义
 <system.web>
    <sessionState cookieless ="false" timeout ="30"/>
  </system.web>
5.authentication节：Forms,Windows,Passport,None
loginUrl验证失败时重定向到的Url，如果重定向到其他机器，两台机器的decryptionKey属性必须相同；name指定用于验证的cookie名称；timeout指定cookie超时分钟数，缺省是30。由于cookie在超时时间过一半时可能被刷新(根据浏览器的设置)，所以timeout不一定准确；path指定cookie路径；protection指定对cookie保护类型。
authentication节中可包含一个credentials节，该节可输入用户名和密码信息。
6.authorization节，通过allow节和deny节来控制用户权限
7.customErrors节来控制错误信息怎么显示
8.httpHandlers节规定应用程序使用哪些http处理器；httpModules节
9.identity节控制应用程序的身份标识
10.pages节包含页面专有的信息
11.processModel节控制IIS进程模式设置
12.sessionState节控制怎样管理会话状态
13.trace节设置跟踪服务，可在代码中使用Trace类的Write()方法在跟踪输出中添加自定义的信息。

 

对配置文件的操作：
1.对web.config里的连接字符串加密解密
使用命令行工具aspnet_regiis 

//获取当前登录用户

currentUser=System.Security.Principal.WindowsIdentity.GetCurrent().Name//name是需要加密

string name=@"connectionStrings";
string appPath="/testconfiguration";

//打开Web.config文件

Configuration config=WebConfigurationManager.OpenWebConfiguration (appPath);
//提供加密的方法
string provider="RsaProtectedConfigurationProvider";
//Rsa加密方法需要打开加密容器，语法是aspnet_regiis -pa "NetFrameworkConfigurationKey" "NT AUTHORITY\Network service(也可以是currentUser)"

//设置加密节点
config.GetSection(name).SectionInformation.ProtectSection(provider);

//解密
//config.GetSection(name).SectionInformation.UnProtectSection();
//保存文件
config.Save();

2，添加节点
string name=@"system.web/httpHandlers";
//指定虚拟路径
string appPath="/testconfiguration";

//打开Web.config文件

Configuration config=WebConfigurationManager.OpenWebConfiguration (appPath);

//获取system.web/httpHandlers配置节
HttpHandlersSection section=(HttpHandlersSection)config.GetSection(name);
//定义子节点
HttpHandlersAction newHandle=new HttpHandlerAction("*.aaa","System.Web.HttpForbiddenHandler","*");
//添加子节点
section.Handlers.Add(newHandle);

//移除子节点section.Handlers.Remove("*","*.aaa");
config.Save();