以前用asp,php,jsp編寫網站代碼的時候，站點安全性總是一件頭疼的事情，雖然我們編寫了用戶登錄，注冊，驗證頁面，但是效果總是不理想。有時候我們不得不用大量的session變量來存放相關信息，處處設防。而在.net環(huán)境下，這個問題處理起來就非常容易了。關鍵是要充分理解web.config文件。首先，介紹一下web.config文件。

<?xml version="1.0" encoding="utf-8" ?>
<configuration>

<system.web>

<!-- 動態(tài)調試編譯
設置 compilation debug="true" 以將調試符號（.pdb 信息）
插入到編譯頁中。因為這將創(chuàng)建執(zhí)行起來
較慢的大文件，所以應該只在調試時將該值設置為 true，而所有其他時候都設置為
false。有關更多信息，請參考有關
調試 asp.net 文件的文檔。
-->
<compilation defaultlanguage="vb" debug="true" />

<!-- 自定義錯誤信息
設置 customerrors mode="on" 或 "remoteonly" 以啟用自定義錯誤信息，或設置為 "off" 以禁用自定義錯誤信息。
為每個要處理的錯誤添加 <error> 標記。
-->
<customerrors mode="remoteonly" />

<!-- 身份驗證
此節(jié)設置應用程序的身份驗證策略。可能的模式是 /“windows/”、
/“forms/”、/“passport/”和 /“none/”
-->
<authentication mode="windows" />

<!-- 授權
此節(jié)設置應用程序的授權策略。可以允許或拒絕用戶或角色訪問
應用程序資源。通配符："*" 表示任何人，"?" 表示匿名
（未授權的）用戶。
-->
<authorization>
<allow users="*" /> <!-- 允許所有用戶 -->

<!-- <allow users="[逗號分隔的用戶列表]"
roles="[逗號分隔的角色列表]"/>
<deny users="[逗號分隔的用戶列表]"
roles="[逗號分隔的角色列表]"/>
-->
</authorization>

<!-- 應用程序級別跟蹤記錄
應用程序級別跟蹤在應用程序內為每一頁啟用跟蹤日志輸出。
設置 trace enabled="true" 以啟用應用程序跟蹤記錄。如果 pageoutput="true"，則
跟蹤信息將顯示在每一頁的底部。否則，可以通過從 web 應用程序
根瀏覽 "trace.axd" 頁來查看
應用程序跟蹤日志。
-->
<trace enabled="false" requestlimit="10" pageoutput="false" tracemode="sortbytime" localonly="true" />

<!-- 會話狀態(tài)設置
默認情況下，asp.net 使用 cookie 標識哪些請求屬于特定的會話。
如果 cookie 不可用，則可以通過將會話標識符添加到 url 來跟蹤會話。
若要禁用 cookie，請設置 sessionstate cookieless="true"。
-->
<sessionstate
mode="inproc"
stateconnectionstring="tcpip=127.0.0.1:42424"
sqlconnectionstring="data source=127.0.0.1;user id=sa;password="
cookieless="false"
timeout="20"
/>

<!-- 全球化
此節(jié)設置應用程序的全球化設置。
-->
<globalization requestencoding="utf-8" responseencoding="utf-8" />

</system.web>

</configuration>

好了，相信看過上面的介紹以后，對web.config文件一定非常了解了吧。下面我們就切入主題。為了防止用戶沒有經過驗證就訪問站點，我們的處理方法是當用戶沒有通過驗證的時候點擊任何頁面將會直接跳到login.aspx頁面，具體代碼如下：

<authentication mode="forms">
<forms name="yourauthcookie" loginurl="login.aspx"
protection="all" path="/" />
</authentication>
<authorization>
<deny users="?" />
</authorization>
但是這樣會產生一個問題，那就是如果我的站點有一些信息是可以讓任意用戶隨意訪問的，比如站點簡介，使用說明等。如果按照上面的處理方法豈不讓用戶覺得很麻煩，呵呵，不急，在asp.net中自然有相應的解決辦法。下面的代碼可以實現匿名用戶訪問test.aspx頁面：

<location path="test.aspx">
<system.web>
<authorization>
<allow users="?" />
</authorization>
</system.web>
</location>

解決了上面兩個問題，相信大家心里一定有底了吧。下面就開始實現login.aspx頁面。利用c#和sql server2000，創(chuàng)建一個webform頁面，加入相應的控件。具體代碼如下：

<%@ page language="c#" codebehind="login.aspx.cs"
autoeventwireup="false" inherits="secure.login" %>
<!doctype html public "-//w3c//dtd html 4.0 transitional//en" >
<html>
<head>
<title>secure site</title>
<meta content="microsoft visual studio 7.0" name="generator">
<meta content="c#" name="code_language">
<meta content="javascript" name="vs_defaultclientscript">
<meta content="http://schemas.microsoft.com/intellisense/ie5"
name="vs_targetschema">
</head>
<body ms_positioning="gridlayout">
<form id="login" method="post" runat="server">
<table cellspacing="0" cellpadding="0" border="0">
<tr>
<td valign="top" align="left">
<asp:label id="message" runat="server" forecolor="#ff0000">
</asp:label>
</td>
</tr>
<tr>
<td valign="top" align="left">
<b>e-mail:</b>
</td>
</tr>
<tr>
<td valign="top" align="left">
<asp:textbox id="username" runat="server" width="120">
</asp:textbox>
</td>
</tr>
<tr>
<td valign="top" align="left">
<b>password:</b>
</td>
</tr>
<tr>
<td valign="top" align="left">
<asp:textbox id="password" runat="server"
width="120" textmode="password">
</asp:textbox>
</td>
</tr>
<tr>
<td valign="top" align="left">
<asp:checkbox id="savelogin" runat="server"
text="<b>save my login</b>">
</asp:checkbox>
</td>
</tr>
<tr>
<td valign="top" align="right">
<asp:imagebutton id="btnlogin" runat="server"
imageurl="/images/w2k/login/btnlogin.gif">
</asp:imagebutton>
</td>
</tr>
</table>
</form>
</body>
</html>

界面做好之后，就開始編寫提交按鈕事件，首先需要注冊該事件，代碼如下：

private void initializecomponent()
{
this.btnlogin.click += new system.web.ui.imageclickeventhandler(this.btnlogin_click);
.
.
.
}
事件注冊好之后，自然就是編寫事件處理函數了：

private void btnlogin_click(object sender, system.web.ui.imageclickeventargs e)
{
ccommondb sql = new ccommondb();
string redirect = "";

if((redirect = sql.authenticateuser(this.session, this.response,
username.text, password.text, savelogin.checked)) != string.empty)
{
// redirect the user
response.redirect(redirect);
}
else
{
message.text = "login failed!";
}
}
讀者看完上面的代碼之后一定想問ccommondb是哪里來的東東，這是我編寫的一個類，用來處理用戶登錄信息的，如果成功則把相關信息寫入session、cookie和sql數據庫，同時跳到default.aspx頁面。具體如下：

ccommondb.cs

namespace secure.components
{
public class ccommondb : csql
{
public ccommondb() : base() { }

public string authenticateuser(
system.web.sessionstate.httpsessionstate objsession, // session variable
system.web.httpresponse objresponse, // response variable
string email, // login
string password, // password
bool bpersist // persist login
)
{
int nloginid = 0;
int nlogintype = 0;

// log the user in
login(email, password, ref nloginid, ref nlogintype);

if(nloginid != 0) // success
{
// log the user in
system.web.security.formsauthentication.setauthcookie(nloginid.tostring(), bpersist);

// set the session varaibles
objsession["loginid"] = nloginid.tostring();
objsession["logintype"] = nlogintype.tostring();

// set cookie information incase they made it persistant
system.web.httpcookie wrappercookie = new system.web.httpcookie("wrapper");
wrappercookie.value = objsession["wrapper"].tostring();
wrappercookie.expires = datetime.now.adddays(30);

system.web.httpcookie lgntypecookie = new system.web.httpcookie("logintype");
lgntypecookie.value = objsession["logintype"].tostring();
lgntypecookie.expires = datetime.now.adddays(30);

// add the cookie to the response
objresponse.cookies.add(wrappercookie);
objresponse.cookies.add(lgntypecookie);

return "/candidate/default.aspx";
}
case 1: // admin login
{
return "/admin/default.aspx";
}
case 2: // reporting login
{
return "/reports/default.aspx";
}
default:
{
return string.empty;
}
}
}
else
{
return string.empty;
}
}

/// <summary>
/// verifies the login and password that were given
/// </summary>
/// <param name="email">the login</param>
/// <param name="password">the password</param>
/// <param name="nloginid">returns the login id</param>
/// <param name="nlogintype">returns the login type</param>
public void login(string email, string password, ref int nloginid, ref int nlogintype)
{
resetsql();

dataset ds = new dataset();

// set our parameters
sqlparameter paramlogin = new sqlparameter("@username", sqldbtype.varchar, 100);
paramlogin.value = email;

sqlparameter parampassword = new sqlparameter("@password", sqldbtype.varchar, 20);
parampassword.value = password;

command.commandtype = commandtype.storedprocedure;
command.commandtext = "glbl_login";
command.parameters.add(paramlogin);
command.parameters.add(parampassword);

adapter.tablemappings.add("table", "login");
adapter.selectcommand = command;
adapter.fill(ds);

if(ds.tables.count != 0)
{
datarow row = ds.tables[0].rows[0];

// get the login id and the login type
nloginid = convert.toint32(row["login_id"].tostring());
nlogintype = convert.toint32(row["login_type"].tostring());
}
else
{
nloginid = 0;
nlogintype = 0;
}
}
}

abstract public class csql
{
private sqlconnection sqlconnection; // connection string
private sqlcommand sqlcommand; // command
private sqldataadapter sqldataadapter; // data adapter
private dataset sqldataset; // data set

public csql()
{
sqlconnection = new sqlconnection(configurationsettings.appsettings["connectionstring"]);
sqlcommand = new sqlcommand();
sqldataadapter = new sqldataadapter();
sqldataset = new dataset();

sqlcommand.connection = sqlconnection;
}

/// <summary>
/// access to our sql command
/// </summary>
protected sqlcommand command
{
get { return sqlcommand; }
}

/// <summary>
/// access to our data adapter
/// </summary>
protected sqldataadapter adapter
{
get { return sqldataadapter; }
}

/// <summary>
/// makes sure that everything is clear and ready for a new query
/// </summary>
protected void resetsql()
{
if(sqlcommand != null)
{
sqlcommand = new sqlcommand();
sqlcommand.connection = sqlconnection;
}
if(sqldataadapter != null)
sqldataadapter = new sqldataadapter();

if(sqldataset != null)
sqldataset = new dataset();
}

/// <summary>
/// runs our command and returns the dataset
/// </summary>
/// <returns>the data set</returns>
protected dataset runquery()
{
sqldataadapter.selectcommand = command;

sqlconnection.open();
sqlconnection.close();

sqldataadapter.fill(sqldataset);

return sqldataset;
}
}
}