前言

在B/S系統(tǒng)開發(fā)中，經(jīng)常需要使用“身份驗證”。因為web應(yīng)用程序非常特殊，和傳統(tǒng)的C/S程序不同，默認(rèn)情況下（不采用任何身份驗證方式和權(quán)限控制手段），當(dāng)你的程序在互聯(lián)網(wǎng)/局域網(wǎng)上公開后，任何人都能夠訪問你的web應(yīng)用程序的資源，這樣很難保障應(yīng)用程序安全性。通俗點來說：對于大多數(shù)的內(nèi)部系統(tǒng)、業(yè)務(wù)支撐平臺等而言，用戶必須登錄，否則無法訪問和操作任何頁面。而對于互聯(lián)網(wǎng)（網(wǎng)站）而言，又有些差異，因為通常網(wǎng)站的大部分頁面和信息都是對外公開的，只有涉及到注冊用戶個人信息的操作，或者網(wǎng)站的后臺管理等才需要提示登錄。（如果不做嚴(yán)格驗證，后果將很嚴(yán)重，人家一旦猜出你web目錄下面的頁面名，可以隨意訪問。當(dāng)然，一般的開發(fā)人員是不會犯這種低智商的錯誤的）。

如何實現(xiàn)“身份驗證”

記得N年前我最早接觸Servlet + JSP開發(fā)的時候，有一種叫做“過濾器”（Filter）的東西，真是很神奇。有了這件神奇的東西后，我再也不需要去每個頁面判斷什么“session”或者“cookie”了，就能把未登錄用戶給彈出去（水平實現(xiàn)有限）。當(dāng)然，在傳統(tǒng)webform開發(fā)中，也可以寫一個“BasePage的雞肋”，在該類中去做判斷，讓每個頁面對應(yīng)的類都去實現(xiàn)這個"雞肋"，我看以前很多公司都是這么干的。

在asp.net中，其實微軟提供了一整套的完整的機(jī)制來實現(xiàn)“成員角色管理”。包含有：”登錄控件”、“membership”、“個性化數(shù)據(jù)庫”等等。但是大多數(shù)開發(fā)人員是從來不用這些的（例如我，用微軟的asp.net三四年，還從來沒見過“登錄控件”長啥樣）。在asp.net身份驗證中，主要有三四種。因為有些身份驗證的方式是依賴于IIS和windows操作系統(tǒng)的，所以在不同版本的操作系統(tǒng)和IIS上還是有些差異的。由于筆者暫時使用的是windows 7的操作系統(tǒng)，所以就拿IIS 7.5為例子。

首先打開IIS，然后雙擊右側(cè)“身份驗證”，會顯示出當(dāng)前IIS支持的所有的身份驗證方式（由于我安裝IIS時候，在“安全性”那里我是全部勾選的）。可以看到如圖：

大致分為如下幾種：

1.活動目錄的客戶端證書（這個很可能是收費(fèi)的），不常用，不細(xì)說。

2.ASP.NET模擬（MSDN：如果要在 ASP.NET 應(yīng)用程序的非默認(rèn)安全上下文中運(yùn)行 ASP.NET 應(yīng)用程序，請使用 ASP.NET 模擬。），機(jī)器人說的我聽不懂。

3.Form身份驗證：這個用的很多，后面會細(xì)說。

4.windows身份驗證：基于windows操作系統(tǒng)的用戶或者域用戶的身份驗證。

5.基本身份驗證：其實也是基于windows操作系統(tǒng)的賬戶驗證的。

6.匿名身份驗證：誰都可以訪問，其內(nèi)部也是通過指定一個特定的windows系統(tǒng)的user賬戶來訪問的。

7.摘要身份驗證：使用 Windows 域控制器對請求訪問 Web 服務(wù)器內(nèi)容的用戶進(jìn)行身份驗證。

再來看看經(jīng)典的 IIS 6的截圖：

 注：.NET Passport 可以理解為微軟對“單點登錄”的一種實現(xiàn)方案，這里不細(xì)說。在“Open API”  "SOA"  “云計算”大行其道的今天，作為一個web程序員，如果你還沒聽說過“單點登錄”，請自行購買開往福州方向的動車票。

在IIS 7上測試一下 windows 身份驗證：

和之前的基本身份驗證差不多，我就不再截圖演示了。如果用戶輸入正確的windows用戶名和密碼，則能夠正常訪問網(wǎng)站。如果輸入錯誤的，則返回的401.1（前面基本身份驗證是401.2）。值得一提的就是，記得之前有位asp.net MVP 曾告訴過我，使用windows身份驗證的時候，只能用戶在使用IE瀏覽器時候才能夠正常訪問。因為這種情況下，不是使用http報文傳輸?shù)男问剑菫g覽器端直接與操作系統(tǒng)內(nèi)部交互，進(jìn)行用戶名和密碼的驗證。經(jīng)過證實，發(fā)現(xiàn)這話的后半句是對的，確實監(jiān)視不到http實體內(nèi)容。但不僅僅局限于IE瀏覽器，我在firefox中也能夠正常的訪問和使用。

匿名身份驗證：

所謂匿名身份驗證，其實就可以理解為“不驗證”。就是匿名用戶都可以訪問資源，沒有任何限制。通常我們的網(wǎng)站，都要啟用匿名方式驗證，集成windows身份驗證。不難發(fā)現(xiàn)，其實匿名身份驗證，也是通過windows用戶組里面的一個特定的用戶來通過驗證的，如圖所示：

最后一種，F(xiàn)orm身份驗證：

前面所講的那些身份驗證方式，其實都和asp.net沒有直接的聯(lián)系，都是IIS 和操作系統(tǒng)級別的驗證方式。而Form 身份驗證，則需要asp.net提供支持。因為通常網(wǎng)站的身份驗證和成員管理都非常復(fù)雜，而不是通過單純的某一種驗證方式能夠?qū)崿F(xiàn)的。對于大部分互聯(lián)網(wǎng)的網(wǎng)站而言，用戶可以訪問部分頁面，但部分頁面必須登錄后才能訪問和操作，而且不同用戶角色登錄，操作權(quán)限也不一樣。這又會涉及到很多方面的知識，而且實現(xiàn)方式也有很多種。

最新評論