Web服务器使用基于纯文本表单的身份验证——.net（未完待续）

asp.net 表单验证方式

Asp.net的身份验证有有三种，分别是"Windows | Forms| Passport"，其中又以Forms验证用的最多，也最灵活。

根据实际需求把用户分成不同的身份，就是角色，或者说是用户组，验证过程不但要验证这个用户本身的身份，还要验证它是属于哪个角色的。而访问授权是根据角色来设置的，某些角色可以访问哪些资源，不可以访问哪些资源等等。

Forms身份验证基本原理：

 <authentication mode="forms"> //本应用程序采用Forms验证方式
     <forms name=".ASPXAUTH " slidingExpiration="true" loginUrl="/login.aspx" timeout="30" path= "/" domain=".abc.com">
     </forms> 
 </authentication>

代码解读：

1.<forms>标签中的name表示指定要用于身份验证的 HTTP Cookie。默认情况下，name 的值是 .ASPXAUTH。采用此种方式验证用户后,以此用户的信息建立一个FormsAuthenticationTicket类型的身份验证票,再加密序列化为一个字符串,最后将这个字符串写到客户端的name指定名字的Cookie中.一旦这个Cookie写到客户端后,此用户再次访问这个web应用时会将连同Cookie一起发送到服务端,服务端将会知道此用户是已经验证过的。

2.FormsAuthenticationTicket类（身份验证票）包含的信息：

　　CookiePath： 返回发出 Cookie 的路径

　　Expiration： 获取 Cookie 过期的日期/时间

　　IsPersistent： 如果已发出持久的 Cookie，则返回 true。否则，身份验证 Cookie 将限制在浏览器生命周期范围内

　　IssueDate： 获取最初发出 Cookie 的日期/时间

　　Name： 获取与身份验证 Cookie 关联的用户名

　　UserData ：获取存储在 Cookie 中的应用程序定义字符串

　　Version： 返回字节版本号供将来使用

3.<forms>标签中的loginUrl指定如果没有找到任何有效的身份验证 Cookie，为登录将请求重定向到的URL。默认值为 default.aspx。一般此页面提供用户输入用户名和密码,用户提交后由程序来根据自己的需要来验证用户的合法性(大多情况是将用户输入信息同数据库中的用户表进行比较),如果验证用户有效,则生成同此用户对应的身份验证票,写到客户端的Cookie,最后将浏览器重定向到用户初试请求的页面.一般是用FormsAuthentication.RedirectFromLoginPage 方法来完成生成身份验证票,写回客户端,浏览器重定向等一系列的动作。
　　

public static void RedirectFromLoginPage( string userName, bool createPersistentCookie, string strCookiePath );

　　userName： 就是此用户的标示,用来标志此用户的唯一标示,不一定要映射到用户账户名称

　　createPersistentCookie： 标示是否发出持久的 Cookie.若不是持久Cookie，Cookie的有效期Expiration属性有当前时间加上web.config中timeout的时间，每次请求页面时，在验证身份过程中，会判断是否过了有效期的一半，要是的话更新一次cookie的有效期；若是持久cookie，Expiration属性无意义，这时身份验证票的有效期有cookie的Expires决定，RedirectFromLoginPage方法给Expires属性设定的是50年有效期。

　　strCookiePath： 标示将生成的Cookie的写到客户端的路径，身份验证票中保存这个路径是在刷新身份验证票Cookie时使用（这也是生成Cookie的Path），若没有strCookiePath 参数，则使用web.config中 path属性的设置。

　　身份验证票的属性有七个 .不足的四个参数是这么来的

　　IssueDate： Cookie发出时间由当前时间得出,

　　Expiration：过期时间由当前时间和下面要说的<forms>标签中timeout参数算出。此参数对非持久性cookie有意义。

　　UserData： 这个属性可以用应用程序写入一些用户定义的数据,此方法没有用到这个属性,只是简单的将此属性置为空字符串,请注意此属性,在后面我们将要使用到这个属性。

　　Version： 版本号由系统自动提供.

RedirectFromLoginPage 方法生成生成身份验证票后，会调用FormsAuthentication.Encrypt 方法，将身份验证票加密为字符串，这个字符串将会是以.ASPXAUTH为名字的一个Cookie的值。这个Cookie的其它属性的生成：Domain，Path属性为确省值，Expires视createPersistentCookie参数而定，若是持久 cookie，Expires设为50年以后过期；若是非持久cookie，Expires属性不设置。

生成身份验证Cookie后，将此Cookie加入到Response.Cookies中，等待发送到客户端。

最后RedirectFromLoginPage方法调用FormsAuthentication.GetRedirectUrl 方法获取到用户原先请求的页面，重定向到这个页面。

4.<forms>标签中的timeout和path,是提供了身份验证票写入到Cookie过期时间和默认路径

访问授权

Forms授权是基于目录的，可以针对某个目录来设置访问权限，比如，这些用户可以访问这个目录，那些用户不能访问这个目录。

授权设置是在你要控制的那个目录下的web.config文件中来设置

 <authorization>
     <allow users="comma-separated list of users"
         roles="comma-separated list of roles"
         verbs="comma-separated list of verbs" />
      <deny users="comma-separated list of users"
         roles="comma-separated list of roles"
         verbs="comma-separated list of verbs" />
 </authorization>

<allow>标签表示允许访问，其中的属性

　　1. users：一个逗号分隔的用户名列表，这些用户名已被授予对资源的访问权限。问号 (?) 允许匿名用户；星号 (*) 允许所有用户

　　2. roles：一个逗号分隔的角色列表，这些角色已被授予对资源的访问权限。

　　3. verbs：一个逗号分隔的 HTTP 传输方法列表，这些 HTTP 传输方法已被授予对资源的访问权限。注册到 ASP.NET 的谓词为GET、HEAD、POST 和 DEBUG。

　　<deny>标签表示不允许访问。其中的属性同上面的。

剩余内容详见asp.net 表单验证方式

---

解决方式一：

修改页面LogOn.cshtml。

问题分析：

表单中，包含用户名/密码语言类型。开始，只有一个初始化；之后在其后面再加一个密码加密（此时等于有两个密码，一个加密一个没有）

把表单拆开，删除未加密密码。即把初始化改成序列化。

var str = "UserName=" + $("#txtUserName").val();
str += "&Password=" + EncodePwd("txtPassword");
str += "&Lang=" + $("#selLang").val();
var strKeyCode = typeof $("#txtKeyCode").val() == "undefined" ? "" : $("#txtKeyCode").val();
str += "&KeyCode=" + strKeyCode;
                $.ajax({
                    type: "POST",
                    url: '@{ <text>@Url.Action("UserLogOn", "Account")</text>}',
                    cache: false,
                    data: str,
                    async: false,
                    dataType: 'json',

                });
function EncodePwd(ctrlId) {
    var pwd = window.document.getElementById(ctrlId).value;
    var str = b64_sha1(pwd);
    return str;
}

解决方式二：

禁用未加密端口 80并启用端口 443