转载经典AndersLiu,经典登录

使用 Forms Authentication 实现用户注册、登录

摘要

　　这是一个系列文章，主要介绍 ASP.NET Forms Authentication（窗体身份验证）的使用

方法，如何使用 Forms Authentication 实现用户注册、登录；并能够在用户登录后随时从

HttpContext 中读取用户实体。

　　这是这一系列的第一部分，主要介绍与 Forms Authentication 相关的系统配置和可以使

用的类型等。

第一部分 基础知识

 用户登录（包括密码的验证、设置安全 Cookie）

 用户实体替换（使用自己的类型作为 HttpContext.User 的类型）

　　有关 Forms Authentication 的原理等内容不属于本文的讨论范畴，大家可以通过在

Google 等搜索引擎中输入“Forms Authentication”、“Forms 身份验证”、“窗体身份验证”等关

键词来查看更多资源。本文仅从实用的角度介绍如何使用这一技术。

不使用 Membership

　　本文介绍的实现方式不依赖 ASP.NET 2.0 提供的 Membership 功能。这主要是因为，如

果使用 Membership，就必须用 aspnet_regsql.exe 实用工具配置数据库，否则就得自己写自

定义的 MembershipProvider。

　　如果用 aspnet_regsql.exe 配置数据库，就会导致数据库中出现很多我们实际并不需要的

　　但是，如果不使用 Membership，也就无法享受 ASP.NET 2.0 中新增的 Login 等控件的

便利了。

与 Forms Authentication 相关的配置

　　在 web.config 文件中，<system.web>/<authentication>配置节用于对验证进行配置。为

<authentication>节点提供 mode="Forms"属性可以启用 Forms Authentication。一个典型的

<authentication>配置节如下所示：

<authentication mode="Forms">

<forms

name=".ASPXAUTH"

loginUrl="login.aspx"

enableCrossAppRedirects="false"

cookieless="UseDevicePro-le"

domain=""

/>

</authentication>

中，name 属性决定了该 Cookie 的名字。通过 FormsAuthentication.FormsCookieName

属性可以得到该配置值（稍后介绍 FromsAuthentication 类）。

 loginUrl——登录页的 URL。通过 FormsAuthentication.LoginUrl 属性可以得到该配置值

当调用 FormsAuthentication.RedirectToLoginPage()方法时，客户端请求将被重定向到该

属性所指定的页面。loginUrl 的默认值为“login.aspx”，这表明即便不提供该属性值，

ASP.NET 也会尝试到站点根目录下寻找名为 login.aspx 的页面。

 defaultUrl——默认页的 URL。通过 FormsAuthentication.DefaultUrl 属性得到该配置值。

 protection——Cookie 的保护模式，可取 值包括 All（同时进行加密和 数据 验证） 、

Encryption（仅加密）、Validation（仅进行数据验证）和 None。为了安全，该属性通

常从不设置为 None。

 timeout——Cookie 的过期时间。

timeout 时间才过期，这意味着，在首次验证后，如果保证每 timeout 时间内至少发送

一个请求，则 Cookie 将永远不会过期。通过 FormsAuthentication.SlidingExpiration 属性

可以得到该配置值。

 enableCrossAppRedirects——是否可以将以进行了身份验证的用户重定向到其他应用程

序中。通过 FormsAuthentication.EnableCrossAppRedirects 属性可以得到该配置值。为

了安全考虑，通常总是将该属性设置为 false。

 cookieless——定义是否使用 Cookie 以及 Cookie 的行为。Forms Authentication 可以采

用两种方式在会话中保存用户凭据信息，一种是使用 Cookie，即将用户凭据记录到

Cookie 中，每次发送请求时浏览器都会将该 Cookie 提供给服务器。另一种方式是使用

URI，即将用户凭据当作 URL 中额外的查询字符串传递给服务器。该属性有四种取值

——UseCookies （无论何时都使 用 Cookie）、UseUri （从不使用 Cookie ，仅使用

用了 Cookie 时 才使 用 Cookie ） 和 UseDeviceProfile （ 只检 测 设 备 ，只要 设 备 支 持

Cookie 不管浏览器是否支持，都是用 Cookie）。通过 FormsAuthentication.CookieMode

属性可以得到该配置值。通过 FormsAuthentication.CookiesSupported 属性可以得到对于

当前请求是否使用 Cookie 传递用户凭证。

 domain——Cookie 的域。通过 FormsAuthentication.CookieDomain 属性可以得到该配置

值。

Anders Liu 个人对于文档进行的额外说明。有关<forms>节点的更多说明，请参见 MSDN 文

用的方法。

　　RedirectToLoginPage 方法用于从任何页面重定向到登录页，该方法有两种重载方式：

　　两种方式均会使浏览器重定向到登录页（登录页的 URL 由<forms>节点的 loginUrl 属

性指出）。第二种重载方式还能够提供额外的查询字符串。

　　RedirectToLoginPage 通常在任何非登录页的页面中调用。该方法除了进行重定向之外，

还会向 URL 中附加一个 ReturnUrl 参数，该参数即为调用该方法时所在的页面的 URL 地址。

这是为了方便登录后能够自动回到登录前所在的页面。

将返回到默认页。

　　RedirectFromLoginPage 方法有两种重载形式：

public static void RedirectFromLoginPage (string userName, bool createPersistentCookie, string

strCookiePath)

　　userName 参数表示用户的标识（如用户名、用户 ID 等）；createPersistentCookie 参数

表示是否“记住我”；strCookiePath 参数表示 Cookie 路径。

　　RedirectFromLoginPage 方法除了完成重定向之外，还会将经过加密（是否加密取决于

<forms>节点的 protection 属性）的用户凭据存放到 Cookie 或 Uri 中。在后续访问中，只要

userName 属性。

　　此外，FormsAuthentication 还有一个 SignOut 方法，用于完成用户注销。其原理是从

Cookie 或 Uri 中移除用户凭据。

小结

　　好了，至此所需要掌握的基础知识就齐备了，接下来我们将实现用户注册、登录等功

　　这是这一系列的第二部分，介绍了如何实现用户注册以及利用 Forms Authentication 完

成用户登录（密码验证与设置用户凭据 Cookie）。

第二部分 用户注册与登录

　　从这一部分开始，我们将通过一个实际的完整示例来看一下如何实现用户注册与登录

在介绍注册与登录之前，我们首先介绍一下如何判断用户是否已登录，并未后面的示例编

写一些基础代码。

判断用户是否已经登录

　　首先，在 Web 站点项目中添加一个 MasterPage，例如 MasterPage.master。在这个母版

<asp:Panel ID="pnlAnonymous" runat="server">

<asp:LinkButton ID="btnLogin" runat="server" Text="登录"

OnClick="btnLogin_Click"></asp:LinkButton> |

<asp:HyperLink ID="lnkRegister" runat="server" NavigateUrl="~/register.aspx"

Text="注册"></asp:HyperLink>

</asp:Panel>

<asp:Panel ID="pnlLoggedin" runat="server">

欢迎您，<asp:Label ID="lblUserName" runat="server"></asp:Label>！

<asp:HyperLink ID="lnkDefault" runat="server" NavigateUrl="~/default.aspx"