Verhindern, dass Besucher bestimmte Seiten öffnen

Question

Ich habe als ASP.Net 2.0 Website mit SQL Server als Datenbank und C# 2005 als die Programmiersprache. Die Website ist fast fertig und alle Links funktionieren gut. Aber ich möchte verhindern, dass normale Benutzer ein paar Seiten öffnen. Wenn ein Benutzer auf diese spezifischen Links klickt, wird eine andere Seite geöffnet, die ein ASP-Login-Steuerelement enthält. Der Benutzer muss eine gültige Benutzer-ID und ein gültiges Kennwort angeben, um die Links anzuzeigen, die auf die restriktiven Seiten verweisen. Aber als Neuling weiß ich nicht, wie ich die volle Power des ASP-Login-Steuerelements nutzen kann. Wenn ein Benutzer die genaue URL der eingeschränkten Seiten erfährt, kann er die Anmeldesteuerung umgehen und direkt auf diese Seiten zugreifen, indem er die URL in die Adressleiste eingibt. Ich möchte das verhindern. Wenn der Benutzer die URL direkt in die Adresszeile eingibt, möchte ich, dass die Seite selbst überprüft, ob der Benutzer über das Login-Steuerelement validiert wurde und entweder die Seite anzeigt oder den Benutzer auf die Anmeldeseite verweist.

Wie implementiere ich diese Funktion?

Vielen Dank.

Lalit Kumar Barik

Answer 1

Sie sollen die Benutzer bei jedem Page_Load() Ereignisse auf den Seiten im Zustand protokolliert überprüfen, die Berechtigungen steuern muß, oder einfach den in einem CS-Authentifizierungscode setzen:

Mehr Informationen über den Berechtigungs Abschnitt finden Sie hier Datei, die in allen anderen Dateien enthalten sein wird.

Abhängig von der ausgewählten Authentifizierungsarchitektur (verwenden Sie einfach die Sitzungsvariable oder erstellen Sie eine Sitzungs-ID mit Cookies), müssen Sie Ihren Code entsprechend anpassen.

Der einfachste Weg wäre, Anmeldungen über das Sitzungsobjekt zu verwalten. Wenn sich der Benutzer ordnungsgemäß mit den richtigen Anmeldeinformationen anmeldet, können Sie Session["logged_in"] = true festlegen. Und auf jedem Page_Load() Ereignis der Seiten, die Sie schützen möchten, müssten Sie die folgende Überprüfung durchführen.

diesen Code hinzufügen zu Beginn Ihrer Page_Load() Funktion:

if (Session["logged_in"] != null && (bool)Session["logged_in"] == true){ 
    Response.Write("I'm logged in!"); 
    }else{ 
    Response.Write("I'm not logged in."); 
    } 

Bitte denken Sie daran, dass dies für eine einfache Intranet-Anwendungen in Ordnung ist, aber wenn man in sicheren Login-Architekturen erhalten mag, lesen mehr über das Thema, da der ausschließliche Zugriff auf Session-Variablen nicht sicher ist, da Sessions mit einem Hijacking belegt werden können.

Answer 2

Sie brauchen eine Möglichkeit, Login-Sitzungen für jeden Benutzer zu verwalten. Im Folgenden sind einige Tutorials, die Ihnen helfen könnten:

http://www.codeproject.com/KB/session/NoCookieSessionLogin.aspx

http://www.dotnetspider.com/resources/5597-Handling-Session-for-Login-Logout.aspx

Answer 3

Sie werden einen Blick auf die location secton der Web-Config zu nehmen.

In diesem Abschnitt können Sie die Zugriffsrechte auf Seitenebene definieren nach unten, so wäre es keine Rolle, ob die Benutzer die URL der gesicherten Seiten wüsste, würde ASP.NET lassen Sie sie nicht in.

?

<location path="SecuredPage.aspx"> 
    <system.web> 
    <authorization> 
     <deny users="?"/> 
    </authorization> 
    </system.web> 
</location> 

Die "deny users =" "" Bit sagt: "verweigern alle anonymen Benutzer":

So würde man so etwas hinzuzufügen.

Sie können auch festlegen, dass nur bestimmte Rollen zugelassen werden, wenn Sie diese verwenden.

authorization Element

Answer 4

Dies ist Essen für die ASP.Net-Mitgliedschaft Dienstleistungen. Werfen Sie einen Blick auf this article und auch the great series über bei 4GuysFromRolla.

Mit der Mitgliedschaft können Sie Benutzer-/Passwortinformationen speichern, die unter anderem vom Login-Steuerelement verwendet werden. In Verbindung mit der Berechtigungskonfiguration können Sie den Zugriff auf bestimmte Seiten direkt auf bestimmte Benutzer oder Rollen beschränken.

Answer 5

Ich würde einen Rollentabellen für Benutzer erstellen. Jeder, der sich anmeldet, erhält die "normale" Rolle. Spezielle Verwendungen, die Sie anhand ihrer Anmeldeinformationen angeben, erhalten Rollen zugewiesen, um auf eine Seite oder einen Abschnitt Ihrer Website zuzugreifen. Bestimmte Benutzer (wie Sie selbst) erhalten eine Administratorrolle, die ihnen automatisch Zugriff auf alles ermöglicht.

Eine Funktion namens CheckIsInRoles ('Admin', 'Normal', 'WhateverRoleYouChoose') auslösen, die einen booleschen Wert zurückgibt. Wenn true, lade die Seite. wenn nicht, nicht.

Noch besser, zeigen Sie keinen Link, wenn nicht in der richtigen Rolle.

Dies hat den zusätzlichen Vorteil, dass sich jeder einmal anmeldet und dann auf alle Seiten zugreift, ohne dass er sich jedes Mal neu anmelden muss.