本文主要就是討論Forms驗(yàn)證方式普通實(shí)現(xiàn)、自定義實(shí)現(xiàn)、自定義角色提供程序、如何單點(diǎn)登錄(可和MOSS結(jié)合)等幾個(gè)方面。

一、普通實(shí)現(xiàn)方式

這種方式是最簡單的，只需要配置一下就可以了。

1、執(zhí)行aspnet_regsql命令建立數(shù)據(jù)庫

aspnet_regsql命令在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727目錄下，按提示運(yùn)行就可以了

2、新建一個(gè)web網(wǎng)站

在Web.Config中加入配置：

<connectionStrings>
<add name="MySqlConnection" connectionString="Data Source=dbserver;Initial Catalog=database;user id=userid;password=****;" />
</connectionStrings>

<system.web>
<authorization>
<deny users="?"/>
</authorization>
<authentication mode="Forms">
<forms loginUrl="login.aspx" name=".ASPXAUTH"/>
</authentication>

<membership defaultProvider="SqlProvider">
<providers>
<clear />
<add connectionStringName="MySqlConnection" applicationName="MyApplication"
enablePasswordRetrieval="false" enablePasswordReset="true" requiresQuestionAndAnswer="true"
requiresUniqueEmail="true" passwordFormat="Hashed" name="SqlProvider"
type="System.Web.Security.SqlMembershipProvider" />
</providers>
</membership>

</system.web>

主要就是指定Forms驗(yàn)證使用的數(shù)據(jù)庫，如果不指定數(shù)據(jù)庫會(huì)使用本機(jī)默認(rèn)的aspnetdb 數(shù)據(jù)庫。

deny users="?"表示不允許匿名用戶訪問，也就是說當(dāng)匿名用戶訪問時(shí)自動(dòng)跳轉(zhuǎn)到下面配置的login.aspx頁面。
至于authorization和authentication節(jié)的其他屬性可以參考MSDN，里面有很詳細(xì)的介紹。

3、在網(wǎng)站里創(chuàng)建Default.aspx和Login.aspx頁面

在Login.aspx頁面里面放入Login和CreateUserWizard控件(因?yàn)槲覀冃陆ǖ膸熘幸粋�(gè)用戶也沒有，CreateUserWizard控件只是用來建立測(cè)試用戶的，建好用戶后可以把這個(gè)控件刪除)
在Default.aspx頁面中隨便放入一些內(nèi)容。

當(dāng)我們?cè)L問Default.aspx時(shí)就會(huì)自動(dòng)轉(zhuǎn)入Login.aspx進(jìn)行驗(yàn)證了。

二、自定義實(shí)現(xiàn)方式

采用第一種方式時(shí)會(huì)要求建立一個(gè)數(shù)據(jù)庫，很多表，可能并不符合我們自己的業(yè)務(wù)要求。可以使用以下的自定義方式

1、利用Login控件的Authenticate事件

這個(gè)事件就是用來進(jìn)行驗(yàn)證的，可以通過指定true值表示驗(yàn)證通過：

protected void Login1_Authenticate(object sender, AuthenticateEventArgs e)
{
//判斷用戶名密碼是否正確
//
e.Authenticated = true;
}

2、完全拋開Login等控件，自己寫代碼

其實(shí)Login控件的核心主要也就是往Cookie里面放入一些值，那么我們可以在自己的代碼中來進(jìn)行這個(gè)操作：

采用以上兩種方式就不用建立默認(rèn)的數(shù)據(jù)庫了，直接使用我們的邏輯進(jìn)行驗(yàn)證操作

三、自定義角色提供程序

以上說的都是用戶級(jí)別的驗(yàn)證，在有的情況下需要根據(jù)角色來進(jìn)行驗(yàn)證，比如指定某個(gè)目錄或某個(gè)aspx文件只能讓哪幾個(gè)角色的用戶訪問，根據(jù)角色來控制的話比較方便靈活。

1、在登錄驗(yàn)證的時(shí)候把角色信息也保存到Cookie中去：

protected void Button1_Click(object sender, EventArgs e)
{
//判斷用戶名密碼是否正確
//.

//得到用戶的角色，測(cè)試時(shí)暫時(shí)寫死
string userRoles = "Admins,testst";
FormsAuthenticationTicket Ticket = new FormsAuthenticationTicket(1, user, DateTime.Now, DateTime.Now.AddMinutes(30), false, userRoles, "/");
string HashTicket = FormsAuthentication.Encrypt(Ticket);

//把角色信息保存到Cookie中去
HttpCookie UserCookie = new HttpCookie(FormsAuthentication.FormsCookieName, HashTicket);
Response.Cookies.Add(UserCookie);

if (Context.Request["ReturnUrl"] != null)
{
Response.Redirect(Context.Request["ReturnUrl"]);
}
else
{
Response.Redirect(FormsAuthentication.DefaultUrl);
}
}

把角色信息加密成特定的格式保存。

2、自定義角色提供程序

如果要按照角色進(jìn)行驗(yàn)證的話，肯定要涉及到角色提供程序，在默認(rèn)情況下也是會(huì)去連接默認(rèn)的數(shù)據(jù)庫的，我們可以自己寫一個(gè)角色提供程序來實(shí)現(xiàn)自己的邏輯。
首先在web.config中加入配置：