Запретить посетителям открывать определенные страницы

Question

У меня есть сайт ASP.Net 2.0 с SQL Server в качестве базы данных и C# 2005 в качестве языка программирования. Веб-сайт почти завершен, и все ссылки работают нормально. Но я хочу, чтобы обычные пользователи не открывали несколько страниц. Когда любой пользователь нажимает на эти конкретные ссылки, открывается другая страница, содержащая элемент управления доступом ASP. Пользователь должен указать действительный идентификатор пользователя и пароль для отображения ссылок, указывающих на ограничительные страницы. Но, будучи новичком, я не знаю, как использовать всю мощь управления доступом ASP. Потому что, если пользователь узнает точный URL-адрес страниц с ограниченным доступом, он может обойти элемент управления входами и напрямую получить доступ к этим страницам, введя URL-адрес в адресную строку. Я хочу предотвратить это. Если пользователь вводит url непосредственно в адресной строке, я хочу, чтобы сама страница проверяла, проверен ли пользователь через элемент управления Login и отображает страницу или указывает пользователя на страницу входа.

Как реализовать эту функцию?

Thank you.

Лалита Кумар Barik

Answer 1

Вы должны проверить пользователя войти в состояние на каждом Page_Load() случае на страницах, которые должны управлять разрешениями, или просто поставить код аутентификации в CS файл, который будет включен во все остальные файлы.

В зависимости от выбранной вами архитектуры аутентификации (просто используйте переменную сеанса или создайте идентификатор сеанса с помощью файлов cookie), вы должны соответствующим образом адаптировать свой код.

Простейшим способом было бы управлять входами через объект сеанса. Когда пользователь будет правильно входить с правильными учетными данными, вы можете установить Session["logged_in"] = true. И при каждом Page_Load() событиях страниц, которые вы хотите защитить, вам необходимо выполнить следующую проверку.Функция

Добавьте этот код в начале вашего Page_Load():

if (Session["logged_in"] != null && (bool)Session["logged_in"] == true){ 
    Response.Write("I'm logged in!"); 
    }else{ 
    Response.Write("I'm not logged in."); 
    } 

Пожалуйста, имейте в виду, что это хорошо для простых приложений интрасети, но если вы хотите, чтобы попасть в более безопасные архитектуры входа в систему, прочитайте больше о предмете, так как переключение исключительно на переменные сеанса небезопасно, потому что сеансы могут быть высокоуровневыми.

Answer 2

Вам нужен способ управления для входа сеансов для каждого пользователя. Ниже приведены некоторые учебники, которые могут помочь вам:

http://www.codeproject.com/KB/session/NoCookieSessionLogin.aspx

http://www.dotnetspider.com/resources/5597-Handling-Session-for-Login-Logout.aspx

Answer 3

Вы хотите взглянуть на location secton веб-конфигурации.

В этом разделе вы можете определить вплоть до уровня страницы права доступа, так что не имеет значения, если пользователи знали URL из обеспеченных страниц ASP.NET не впустить их.

Таким образом, вы бы добавить что-то вроде:

<location path="SecuredPage.aspx"> 
    <system.web> 
    <authorization> 
     <deny users="?"/> 
    </authorization> 
    </system.web> 
</location> 

«отрицают пользователей =» «» бит говорит «запретить все анонимные пользователи».

Вы также можете настроить его, чтобы разрешить определенные роли, если вы используете их.

Более подробная информация о разделе Authorization можно найти здесь:

authorization Element

Answer 4

Это еда для членства в ASP.Net. Взгляните на this article, а также the great series на 4GuysFromRolla.

Членство позволяет вам хранить информацию о пользователе/​​пароле, которая используется, среди прочего, элементом управления Login. В сочетании с конфигурацией авторизации вы сможете напрямую ограничить доступ к определенным страницам определенным пользователям или ролям.

Answer 5

Я сделал бы таблицу роли для пользователей. Каждый, кто входит в систему, получает «нормальную» роль. Особые виды использования, которые вы назначаете по их учетным данным, получают назначенные роли для доступа к странице или разделу вашего веб-сайта. Некоторые пользователи (например, вы сами) получают роль администратора, которая автоматически позволяет им получить доступ ко всему.

Отключить функцию, называемую CheckIsInRoles ('Admin', 'Normal', 'WhateverRoleYouChoose'), которая возвращает логическое значение. Если true, загрузите страницу; если нет, то нет.

Еще лучше не показывать ссылку, если она не в правильной роли.

Это имеет дополнительное преимущество для каждого входа в систему один раз, а затем доступа ко всем страницам, в которых они нуждаются, без необходимости входа в систему каждый раз.