asp.net 2.0中，為了更方便創建和管理用戶，以及對 web 應用程序中的頁進行密碼保護，引進了新的框架membership。新的框架包含用于處理身份驗證和授權的新增功能，能夠同時滿足 web 站點管理員和開發人員的需要。web 站點管理員可以利用新的 web 站點管理工具來創建新的用戶和角色，以及控制對 web 應用程序中頁面的訪問。web 站點管理工具是一組預先編寫的 asp.net頁，不具備編程技巧的用戶可以使用它們來配置 web 應用程序。利用membership api,編程人員可以很方便地使用拖拉控件的方法，再加以少量的代碼，就可以完全實現對用戶，角色權限等的管理，還可以自定義做擴充。

　　1.建立網站項目

　　2.asp.net配置     

　　安全設置選項被分為三部分：用戶，角色和規則。

　　登錄的身份驗證可以配置為基于forms和windows的。

　　3.使用登錄控件

　　說明:用戶登錄后,顯示“退出”的提示，通過loginstatus控件來實現。在控件的屬性中，有logoutaction和logoutpageurl兩個屬性，可以來設定注銷時是僅僅刷新當前頁面、轉向到某個頁面或者轉向到登錄頁面。

　　（一）登陸

　　如何設定loginpageurl（登錄的頁面），運行程序時，當按這個控件的顯示的login鏈接時，總是轉到根文件夾下的login.aspx，而實際的登錄文件在/login/login.aspx 。如何解決？

　　查了下資料，原來登錄的url是在web.config中設置的。如果是用form驗證登錄，缺省的web.config是這樣寫的：

<system.web>
   <authentication mode="forms" />
</system.web>

　　需要修改成如下的樣子：

<system.web>
   <authentication mode="forms">
   <forms loginurl="~/member/login.aspx"></forms>
 </authentication>
</system.web>

　　（二）站點導航

　　1.三種導航控件

   menu:使用一菜單顯示站點的結構。

　　treeview：用一個可展開的樹顯示站點的結構

　　sitemappath:用于顯示終端用戶處于相對于站點結構的具體位置

　　2.web.sitemap  導航xml文件

<?xml version="1.0" encoding="utf-8" ?>
<sitemap xmlns="http://schemas.microsoft.com/aspnet/sitemap-file-1.0" >
  <sitemapnode title="首頁" url="sitemaptest.aspx" >
    <sitemapnode title="產品" roles="*">
      <sitemapnode title="windows" url="sitemaptest.aspx?id=windows" />
      <sitemapnode title="office" url="sitemaptest.aspx?id=office" />
      <sitemapnode title="mobile devices" url="sitemaptest.aspx?id=mobile" />
      <sitemapnode title="business solutions" url="sitemaptest.aspx?id=business" />
      <sitemapnode title="servers" url="sitemaptest.aspx?id=servers" />
      <sitemapnode title="developer tools" url="sitemaptest.aspx?id=tools" />
      <sitemapnode title="games and xbox" url="sitemaptest.aspx?id=games" />
      <sitemapnode title="all products" url="sitemaptest.aspx?id=all" />
    </sitemapnode>
    <sitemapnode title="資源" roles="*">
      <sitemapnode title="支持" roles="*">
        <sitemapnode title="修改密碼" url="~/login/changepassword.aspx" />
        <sitemapnode title="knowledge base" url="sitemaptest.aspx?id=knowledge" />
      </sitemapnode>
      <sitemapnode title="downloads" url="sitemaptest.aspx?id=downloads" />
      <sitemapnode title="windows update" url="sitemaptest.aspx?id=windowsupdate" />
      <sitemapnode title="office update" url="sitemaptest.aspx?id=officeupdate" />
      <sitemapnode title="learning tools">
        <sitemapnode title="training &amp; certification" url="sitemaptest.aspx?id=training" />
        <sitemapnode title="books" url="sitemaptest.aspx?id=books" />
        <sitemapnode title="events &amp; webcasts" url="sitemaptest.aspx?id=events" />
        <sitemapnode title="patterns &amp; practices" url="sitemaptest.aspx?id=patterns" />
      </sitemapnode>
      <sitemapnode title="community" url="sitemaptest.aspx?id=community" />
      <sitemapnode title="security" url="sitemaptest.aspx?id=security" />
    </sitemapnode>
    <sitemapnode title="rss" roles="*">
      <sitemapnode title="公司關系" url="sitemaptest.aspx?id=relations"  />
      <sitemapnode title="rsssite" url="~/rss/rsssite.aspx" />
      <sitemapnode title="careers" url="sitemaptest.aspx?id=careers" />
      <sitemapnode title="about this site" url="sitemaptest.aspx?id=about" />
    </sitemapnode>
  </sitemapnode>
</sitemap>

　　web.sitemap文件必須包含根結點sitemap。一張站點地圖由一系列相聯系的sitemapnode對象組成。這些sitemapnode以一種層次方式聯系在一起。該層次包含單個根結點-它是該層中唯一的一個沒有父結點的結點，代表首頁。在該父sitemapnode結點下，可以有若干個子sitemapnode結點，分別按層次結構代表了網站的各子欄目(留意一下上例中，各個子結點之間的包含關系)。

　　3. 數據源sitemapdatasource控件

　　sitemapdatasource會自動查找項目中名為web.sitemap的 一個xml文件

　　（三）權限管理

　　網站在安全性方面有一個常見的要求：特定的頁面僅允許某些成員或其他經過身份驗證的用戶瀏覽。asp.net 的角色管理提供了一種方法，可以基于安全角色限制對 web 文件的訪問。站點地圖安全性調整提供了一種同樣基于安全角色的方法來隱藏站點地圖中的導航鏈接。

　　1. asp.net 網站配置

　　1）提供程序

    可使用 sql server 2005(默認)，2000和access數據庫存儲用戶信息。若要使用 sql server 2000數據庫存儲信息：

　　a.用sql server的企業管理器，創建一個數據庫，如為zyh;

　　b.用aspnet_regsql（c:/windows/microsoft.net/framework/v2.0.50215/aspnet_regsql.exe)創建數據庫。除在創建向導的第3步數據庫下拉框選擇“zyh”以外，其余各步驟皆使用默認設置。這樣，在sql server 2000中會創建一個含有用戶表和存貯過程的完整數據庫。

　　c.在管理工具中打開iis，找到虛擬目錄newtest，用鼠標右鍵點擊，然后左鍵點菜單項【屬性】、【asp.net】標簽、【編輯配置】按鈕，在【常規】標簽的【連接字符串管理器】中，點名稱【localsqlserver】，點【編輯】按鈕，把【連接參數】修改為相應能夠連接到數據庫zyh的數據庫連接字符串，如“data source=.;initial catalog=zyh;persist security info=true;user id=sa;password=12345”,此后，一直點【確定】按鈕，最后到iis管理工具界面即可。

　　d.最后返回網站管理工具web頁面，點擊安全主題，就會出現“使用安全設置向導按部就班地配置安全性。”鏈接和其它相關鏈接。

　　2）安全設置選項被分為三部分：用戶，角色和規則。

    其中規則建立了角色對項目中文件夾的訪問權限。

　　3)應用程序配置

　　可設置smtp服務器 以供用戶通過email找回密碼。

　　2. 建立登錄頁面

　　3.在web.config文件中啟用角色管理

<system.web>
    <sitemap defaultprovider="xmlsitemapprovider" enabled="true">
      <providers>
        <add name="xmlsitemapprovider"
          description="default sitemap provider."
          type="system.web.xmlsitemapprovider "
          sitemapfile="web.sitemap"
          securitytrimmingenabled="true" />
      </providers>
    </sitemap>

    <rolemanager enabled="true" />
   
    <authentication mode="forms">
      <forms loginurl="~/login/login.aspx"></forms>
    </authentication>
   
    <compilation debug="true">
      <assemblies>
        <add assembly="system.data.oracleclient, version=2.0.0.0, culture=neutral, publickeytoken=b77a5c561934e089"/>
      </assemblies>
    </compilation>
  </system.web>
  <system.net>
    <mailsettings>
      <smtp from="[email protected]">
        <network host="smtp.163.com" password="passwordmodify" username="wangyihust" />
      </smtp>
    </mailsettings>
  </system.net>

　　4.在web.sitemap 文件中 加入角色權限，以顯示或隱藏相關頁面

 <sitemapnode title="rss" roles="*">
      <sitemapnode title="公司關系" url="sitemaptest.aspx?id=relations"  />
      <sitemapnode title="rsssite" url="~/rss/rsssite.aspx" />
      <sitemapnode title="careers" url="sitemaptest.aspx?id=careers" />
      <sitemapnode title="about this site" url="sitemaptest.aspx?id=about" />
    </sitemapnode>

　　其中，roles="*"表示所有人都可以看到下面的頁面，但是我們在規則中可以拒絕某些 角色的用戶看到下面的相關頁面（通過目錄權限控制）