asp.net 身份验证（分目录验证篇）


            比如一个新闻系统，通常只有在发布新闻的网页才需要身份验证，而用户浏览新闻是不需要身份验证的。对于这种情况，就要针对不同的网页来进行身份验证了。 要实现这种功能，也只要将《asp.net中的身份验证（最简单篇）》稍作修改，具体操作方式如下所示： 第一步、创建一个子文件夹，将所有要验证的网页都放在这个文件夹中，设置该文件夹的名字为“admin”。 第二步、修改web.config文件。 1、在<system.web>和</system.web>中找到<authentication>节，将其改为“<authentication mode="Forms"><forms loginUrl="~/admin/AdminLogin.aspx"></forms></authentication>”，其中Forms代表使用表单认证；loginUrl用于指定登录页面URL，个人比较喜欢将登录页面也放在admin文件夹中，所以在此要指定登录页面URL，如果还是想使用根目录中的login.aspx页面作为登录页面，则可以省略<forms>节。 2、在<system.web>和</system.web>中添加“<authorization><allow users="?"/></authorization>”，其中“<allow users="?"/>”代表允许所有的匿名用户。注意此处与《asp.net中的身份验证（最简单篇）》的区别，在《asp.net中的身份验证（最简单篇）》中，此处使用的是“<deny users="?"/>”，用于拒绝所有匿名用户。 第三步、在需要身份验证的子文件夹中添加一个web.config文件，在本例中为在“admin”文件夹中添加该文件。 第四步、修改需要身份验证的子文件夹中的web.config文件，在本例中为“admin”文件夹中的web.config文件。 在<system.web>和</system.web>中，添加“<authorization><deny users="?"/></authorization>”，由于在根目录中的web.config文件中声明了允许所有匿名用户访问，所以在不能允许匿名用户访问的子文件夹中，必须要使用“<deny users="?"/>”来拒绝匿名用户访问。另外，在子文件夹中的web.config文件中可以没有<authentication>节。 第五步、在“admin”子文件夹中创建AdminLogin.aspx文件。如果在第二步中没有使用<forms>节来指定用户登录页面，则在网站根目录下创建login.aspx文件。 第六步、在AdminLogin.aspx文件（或login.aspx文件）中验证身份，如果身份验证通过，使用FormsAuthentication.SetAuthCookie()为用户创建一个身份验证的票据，并将其添加到Cookie中。以后，再访问网站中admin子目录下的其他网页，就不需要使用进行身份验证了。单击提交按钮后的代码与《asp.net中的身份验证（最简单篇）》中的代码类似，在此就不再赘述了。 本例在VS2005中测试通过。 本例的优点：过程和代码都十分简单，可以指定某个目录中的网页进行身份验证，而不是整个网站的所有网站都进行身份验证。 本例的缺点：身份验证过于简单，验证结果只有两种，一种是没有通过验证，因而拒绝访问；一种是通过验证，可以访问。如果想对权限进行细分，比较说管理员A拥有添加权限，而管理员B只拥有查看权限，这种功能就无法实现了。