asp.net中的窗体身份验证（分目录验证篇）

来源：互联网发布：德军总部好玩吗知乎编辑：程序博客网时间：2024/04/29 08:43

在上一篇博文《asp.net中的窗体身份验证（最简单篇）》中的身份验证虽然很简单，但是有一个缺点，就是访问整个网站都必须要经过身份验证，而事实上，很多网站都不会这么要求的。

比如一个新闻系统，通常只有在发布新闻的网页才需要身份验证，而用户浏览新闻是不需要身份验证的。对于这种情况，就要针对不同的网页来进行身份验证了。

要实现这种功能，也只要将《asp.net中的窗体身份验证（最简单篇）》稍作修改，具体操作方式如下所示：

第一步、创建一个子文件夹，将所有要验证的网页都放在这个文件夹中，设置该文件夹的名字为“admin”。

第二步、修改web.config文件。

1、在<system.web>和</system.web>中找到<authentication>节，将其改为“<authentication mode="Forms"><forms loginUrl="~/admin/AdminLogin.aspx"></forms></authentication>”，其中Forms代表使用表单认证；loginUrl用于指定登录页面URL，个人比较喜欢将登录页面也放在admin文件夹中，所以在此要指定登录页面URL，如果还是想使用根目录中的login.aspx页面作为登录页面，则可以省略<forms>节。

2、在<system.web>和</system.web>中添加“<authorization><allow users="?"/></authorization>”，其中“<allow users="?"/>”代表允许所有的匿名用户。注意此处与《asp.net中的窗体身份验证（最简单篇）》的区别，在《asp.net中的窗体身份验证（最简单篇）》中，此处使用的是“<deny users="?"/>”，用于拒绝所有匿名用户。

第三步、在需要身份验证的子文件夹中添加一个web.config文件，在本例中为在“admin”文件夹中添加该文件。

第四步、修改需要身份验证的子文件夹中的web.config文件，在本例中为“admin”文件夹中的web.config文件。

在<system.web>和</system.web>中，添加“<authorization><deny users="?"/></authorization>”，由于在根目录中的web.config文件中声明了允许所有匿名用户访问，所以在不能允许匿名用户访问的子文件夹中，必须要使用“<deny users="?"/>”来拒绝匿名用户访问。另外，在子文件夹中的web.config文件中可以没有<authentication>节。

第五步、在“admin”子文件夹中创建AdminLogin.aspx文件。如果在第二步中没有使用<forms>节来指定用户登录页面，则在网站根目录下创建login.aspx文件。

第六步、在AdminLogin.aspx文件（或login.aspx文件）中验证身份，如果身份验证通过，使用FormsAuthentication.SetAuthCookie()为用户创建一个身份验证的票据，并将其添加到Cookie中。以后，再访问网站中admin子目录下的其他网页，就不需要使用进行身份验证了。单击提交按钮后的代码与《asp.net中的窗体身份验证（最简单篇）》中的代码类似，在此就不再赘述了。

=============================

原创不容易，转载请注明出处。