考察 ASP.NET 2.0的Membership, Roles, and Profile - Part 4-程序员宅基地

技术标签: database  system  passwords  asp.net  考察成员、角色和Profile  login  user  

本文英文原版及代码下载:
http://aspnet.4guysfromrolla.com/articles/050306-1.aspx#postadlink


考察 ASP.NET 2.0的Membership, Roles, and Profile - Part 4

导言:

ASP.NET 2.0 的Membership class类有一个ValidateUser(userName, password)方法,返回一个布尔值。用于验证用户的登录信息是否有效.该方法被Login Web控件自动调用,当然如果需要的话也可以通过编程调用.在Membership system,有几种情况,用户无法通过验证:

1.username无效
2.username有效,但password无效
3.username和password都有效,但
  .用户可能还未被核准(approved)
  .用户被锁定(locked out),原因可能是用户用无效密码登录了好几次(   默认为5次)

不幸的是,如果登录失败,ValidateUser(userName, password)方法只会返回一个False,而不包含为什么登录失败的具体原因.对Login控件而言,当ValidateUser(userName, password)方法返回False的同时,默认还会显示一个消息:"Your login attempt was not successful. Please try again." 如果是这种情况,用户被锁定(locked out)或帐户还未被核准——此时他们的username和password都没问题,显示这样的消息就让用户感到困惑了.在本文,我们将在登录过程中添加额外的反馈信息,以避免这种尴尬的情况.


审核和锁定(Locked Out)用户帐户

ASP.NET 2.0 Membership system里的用户帐户,我们可以利用Membership 和 MembershipUser classes类以编程的方式访问并进行修改.Membership包含一系列的方法以返回某一个或所有用户的信息、更新某个用户的信息等;而MembershipUser class类包含的属性描述了某个用户的具体情况(UserName, Email, LastLoggedOnDate等等).

Membership system可以将用户帐户标记为inactive(未审批)和locked out.当创建一个新帐号时,默认是被审批的.然后在某些情况下,你可能希望让管理员手动批准新帐户,或者是其它自动方式来审批(比如,点击一个确认连接发送邮件).不管是哪种方式,刚创建的用户都会被标记为inactive.这样,该用户就无法登录网站,因为ValidateUser(userName, password)总是返回False,无论用户名和密码是否正确.

由于验证过程是通过一个基于窗体的构架(forms-based scheme),只是简单的通过一个HTTP request来发送用户认证(credential).这样,某个攻击者便可以尝试破解某个用户帐户,方法是编写脚本遍历一个通用密码字典(a dictionary of common passwords),对某个特定的帐户,用字典里的所有密码尝试进行登录.为阻止这种攻击,如果在特定时间段内用无效密码登录了特定次数后,Membership system自动将某个用户锁定.默认设置为在10分钟内(a ten minute window)无效登录5次.当然,我们可以在Web.config文件里对其进行定制.和未审批用户一样,被锁定的用户同样不能登录网站,无论其用户名和密码是否正确.为了对用户进行解锁,需要调用MembershipUser class类的UnlockUser()方法.当从Login Web控件登录失败时,我们可以对登录页面进行定制以显示更多恰当的消息.


登录失败时显示更有价值的消息

当用户用Login Web控件进行登录时就会触发其LoginError事件.该事件不会传递指明登录失败的任何信息.不过,我们可以通过Login控件的UserName 和 Password属性来获取该用户的username 和 password.我们可以调用Membership.GetUser(userName)方法来获取用户帐户的信息. 该方法返回一个MembershipUser对象,我们可以检查其IsApproved 和 IsLockedOut属性来判定为何用户的认证被认为是无效的.

下面的代码显示了如何来实现它.最终的帮助信息显示在一个名为LoginErrorDetails的Label Web控件里.你在本文的下载代码里可看到Login页面的完整代码和声明.

Protected Sub Login1_LoginError(ByVal sender As Object, ByVal e As System.EventArgs) Handles

Login1.LoginError
    'There was a problem logging in the user

    'See if this user exists in the database
    Dim userInfo As MembershipUser = Membership.GetUser(Login1.UserName)

    If userInfo Is Nothing Then
        'The user entered an invalid username...
        LoginErrorDetails.Text = "There is no user in the database with the username " &

Login1.UserName
    Else
        'See if the user is locked out or not approved
        If Not userInfo.IsApproved Then
            LoginErrorDetails.Text = "Your account has not yet been approved by the site's

administrators. Please try again later..."
        ElseIf userInfo.IsLockedOut Then
            LoginErrorDetails.Text = "Your account has been locked out because of a maximum

number of incorrect login attempts. You will NOT be able to login until you contact a site

administrator and have your account unlocked."
        Else
            'The password was incorrect (don't show anything, the Login control already describes

the problem)
            LoginErrorDetails.Text = String.Empty
        End If
    End If
End Sub

使用上面的代码,用户登录失败后将看到更有意义的消息.下面的截屏显示的是以Bruce(其帐户已被锁定)和Alfred(其帐户还未被审批)的名字登录的情形.没有上述的事件处理器,他们都只能看到标准的"Your login attempt was not successful. Please try again." 提示消息.很明显,他们将感到很迷惑,无法意识到其帐户已经被锁定或未被审批.


                                                                           图1
 
                                                                           图2

由于ASP.NET 2.0 Membership system可以锁定用户帐户并不再接受登录.如此情况,可提供一个快速反馈,看哪些用户被锁定,哪些用户未被审批.要捕获这些信息,我在membership数据库里创建了一个InvalidCredentialsLog表,其构架如下:

                                                                       图3

Membership system包含一个ApplicationID,它允许多个应用程序在一个数据库里存储各自的用户帐户.理想情况下,该表应包含ApplicationID,并只报告当前应用程序的那些无效认证(假定你用一个单一的membership store来应对多个应用程序).我将其作为练习留给读者.

接下来,我将创建一个存储过程——InvalidCredentialsLog_Insert,它存储用户的username, password,和IP address.它检查当前username是否与aspnet_Users表里的用户匹配,若是,则提取用户的IsApproved 和 IsLockedOut列的值,然后添加到InvalidCredentialsLog_Insert表.

当用户无效登录时,需要调用该存储过程,并传入用户信息.为此,我创建了一个ID为InvalidCredentialsLogDataSource的SqlDataSource控件,设置其调用该存储过程,然后我们对Login Web控件的LoginError事件处理器进行扩充,为该存储过程设置参数并调用它:

Protected Sub Login1_LoginError(ByVal sender As Object, ByVal e As System.EventArgs) Handles

Login1.LoginError
    'Set the parameters for InvalidCredentialsLogDataSource
    InvalidCredentialsLogDataSource.InsertParameters("ApplicationName").DefaultValue =

Membership.ApplicationName
    InvalidCredentialsLogDataSource.InsertParameters("UserName").DefaultValue = Login1.UserName
    InvalidCredentialsLogDataSource.InsertParameters("IPAddress").DefaultValue =

Request.UserHostAddress

    'The password is only supplied if the user enters an invalid username or invalid password -

set it to Nothing, by default
    InvalidCredentialsLogDataSource.InsertParameters("Password").DefaultValue = Nothing


    'There was a problem logging in the user
    'See if this user exists in the database
    Dim userInfo As MembershipUser = Membership.GetUser(Login1.UserName)
    If userInfo Is Nothing Then
        'The user entered an invalid username...
        LoginErrorDetails.Text = "There is no user in the database with the username " &

Login1.UserName

        'The password is only supplied if the user enters an invalid username or invalid password
        InvalidCredentialsLogDataSource.InsertParameters("Password").DefaultValue =

Login1.Password
    Else
        'See if the user is locked out or not approved
        If Not userInfo.IsApproved Then
            LoginErrorDetails.Text = "Your account has not yet been approved by the site's

administrators. Please try again later..."
        ElseIf userInfo.IsLockedOut Then
            LoginErrorDetails.Text = "Your account has been locked out because of a maximum

number of incorrect login attempts. You will NOT be able to login until you contact a site

administrator and have your account unlocked."
        Else
            'The password was incorrect (don't show anything, the Login control already describes

the problem)
            LoginErrorDetails.Text = String.Empty

            'The password is only supplied if the user enters an invalid username or invalid

password
            InvalidCredentialsLogDataSource.InsertParameters("Password").DefaultValue =

Login1.Password
        End If
    End If

    'Add a new record to the InvalidCredentialsLog table
    InvalidCredentialsLogDataSource.Insert()
End Sub

此外,我还构建了一个报告页面,在一个可分页、排序的GridView控件.如下所示,该页面也包含在下载内容里

.

                                                                                  图4:


就一般的网站而言,该InvalidCredentialsLog表可能会很大。我们可以采取一些措施来将超过某个时间的老的记录删除(比如3个月前的记录)。上面显示出来的报告很简单,对大数据的结果也没有进行优化处理.它使用默认的分页,从数据库将每个页面的数据都检索出来。如果想自定义分页,仅仅检索当前页面所需要的记录,请参阅文章《Custom Paging in ASP.NET 2.0 with SQL Server 2005》(http://aspnet.4guysfromrolla.com/articles/031506-1.aspx)


结语:

本文,我们看如何对登录过程进行优化,当被锁定或未为被审批的用户登录时显示更有意义的信息.这都要感谢Membership API,它可以通过编程、显式地(通过数据源控件)、或Web控件(比如Login Web控件)来访问.在下载代码里有一个Admin页面,它用一个GridView控件将系统的所有用户列出来,允许用户查看其审批状态、将锁定的用户解锁、查看某人用户是否是Administrator角色(只有Administrator角色才能查看与管理相关的页面)

祝编程快乐! 

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heker2007/article/details/1769090

智能推荐

vscode 前端开发launch.json常用配置_"version\": \"0.2.0\", \"configurations\":"-程序员宅基地

文章浏览阅读3.7k次,点赞3次,收藏8次。"version": "0.2.0", "configurations": [ { "type": "chrome", "request": "launch", "name": "Launch Chrome against localhost", "url": "${file}", "sourceMaps": true, "webR..._"version\": \"0.2.0\", \"configurations\":"

sys用户用sysdba权限连接时报ORA-01031问题解决方法-程序员宅基地

文章浏览阅读418次。当我们用sys user 连接到数据库使用sysdba权限,报ORA-01031 提示不够权限一般是以下三种原因:1.数据库参数 remote_login_passwordfile 必须设置为EXCLUSIV..._ora-01031 sys.aud$

matlab批量图片旋转处理-程序员宅基地

文章浏览阅读1.5k次。matlab批量图片旋转处理我们用于神经网络训练的图片有时候需要自己标记,但比较麻烦,通过一些旋转处理往往可以扩大训练集数目,但是一般我们用一些图像软件处理会使彩色索引图编程RGB图或者灰度图,不能满足我们要求,并且速度比较慢,这里是我用的matlab批量处理原始图像和标记图像程序代码:clearpath1 ='C:\Users\26594\Desktop\label_images\trai...

boost之路 十一 序列化_boost 扫描文件按序号排序-程序员宅基地

文章浏览阅读3.2k次,点赞2次,收藏8次。Boost.Serialization 的主要概念是归档。 归档的文件是相当于序列化的 C++ 对象的一个字节流。 对象可以通过序列化添加到归档文件,相应地也可从归档文件中加载。 为了恢复和之前存储相同的 C++ 对象,需假定数据类型是相同的。下面看一个简单的例子。#include #include int main() { boost::archive::tex_boost 扫描文件按序号排序

(四)Typescript中的泛型 T, 命名空间, 装饰器_typescript中t-程序员宅基地

文章浏览阅读2.7k次。加入QQ群:864680898,一起学习进步!点击群名可查看本人网站,有最新文章!(四)Typescript中的泛型 T, 命名空间, 装饰器一、泛型 T为什么要用泛型?可以在函数调用时自由化传入的值和返回的值let showInfo = <T>(val: T): T => val;let myName = showInfo<string>('mySk..._typescript中t

全面解决amule容易崩溃和中文显示、输入的问题(转)-程序员宅基地

文章浏览阅读589次。全面解决amule容易崩溃和中文显示、输入的问题(转)  amule是一个类似windows下的emule的ed2k客户端。ed2k是一种类似于Bittorrent的点对点文件传输协议。它现对BT的最大优点就是有搜索功能,资..._amule 中文

随便推点

cef3的各个接口你知道几个_ceffindhandler-程序员宅基地

文章浏览阅读8.3k次,点赞4次,收藏7次。CEF3基本的框架包含C/C++程 序接口,通过本地库的接口来实现,而这个库则会隔离宿主程序和 Chromium&Webkit的操作细节。它在浏览器控件和宿主程序之间提供紧密的整合,它支持用户插件,协议,javascript对象以及 javascript扩展,宿主程序可以随意地控件资源下载,导航,下下文内容和打印等。下边总结一些最常用到的类和接口,便于了解整个cef3的代码。 _ceffindhandler

kotlin将对象转换为map_Java 8 Stream API转换到Kotlin集合API-程序员宅基地

文章浏览阅读667次。Kotlin提供的集合操作的API相对Java8Stream的API简洁很多。下面是Java8StreamAPI转换到Kotlin集合API。映射属性聚合为列表//Java:Listnames=users.stream().map(User::getName).collect(Collectors.toList());//Kotlin:vallist=user.map{..._collectors.groupingby kotlin

C++之多态的一个例子-程序员宅基地

文章浏览阅读475次。[例12.1] 先建立一个Point(点)类,包含数据成员x,y(坐标点)。以它为基类,派生出一个Circle(圆)类,增加数据成员r(半径),再以Circle类为直接基类,派生出一个Cylinder(圆柱体)类,再增加数据成员h(高)。要求编写程序,重载运算符“<<”和“>>”,使之能用于输出以上类对象。这个例题难度不大,但程序很长。对于一个比较大的程序,应当分成若干..._c++ 多态 实例 csdn

阻碍程序员发展的那些糟糕翻译(持续更新)_计算机术语的糟糕翻译-程序员宅基地

文章浏览阅读412次。回想学习历程中, 总有15%-20%的精力白白浪费在一些翻译造成的弯路上. 有时甚至因为一两个名词的失败翻译而影响对整体概念的理解, 回看英文解释都会有豁然开朗的感觉. 令人费解的, 中文互联网里充斥着各种糟糕翻译.句柄(Handler)比如文件句柄, 就像handler一样是一个扳手或者门把一样的东西.给你一个门把你就可以开门而不需要在意门的形状大小材质. 比如,得到一个文件句柄,进程就可..._计算机术语的糟糕翻译

FusionInsight,一个融合的大数据平台_fudionlnsight-程序员宅基地

文章浏览阅读1.3w次,点赞3次,收藏26次。随着物联网技术和应用的普及,以运营商、互联网以及实体经济行业为代表的企业产生了越来越多的数据,大数据的发展越来越蓬勃。从2007年开始,大数据应用成为很多企业的需求,2012年兴起并产生了大数据平台,使用者主要是程序员;2013年到2017年间,数据逐渐增多,大数据平台变成了融合大数据平台,使用者从程序员变成数据管理员和数据分析师;从2018年开始,大数据进入企业数据智能新阶段,普通的工程..._fudionlnsight

tensorflow的阶、形状、数据类型_a=tf.random.normal([5,5]) #shape(5,5)a是几阶张量是什么形状-程序员宅基地

文章浏览阅读2.5k次。张量的阶、形状、数据类型TensorFlow用张量这种数据结构来表示所有的数据.你可以把一个张量想象成一个n维的数组或列表.一个张量有一个静态类型和动态类型的维数.张量可以在图中的节点之间流通.阶在TensorFlow系统中,张量的维数来被描述为阶.但是张量的阶和矩阵的阶并不是同一个概念.张量的阶(有时是关于如顺序或度数或者是n维)是张量维数的一个数量描述.比如,下面的张量(使用Python中li..._a=tf.random.normal([5,5]) #shape(5,5)a是几阶张量是什么形状

推荐文章

热门文章

相关标签