使用Forms Authentication实现用户注册、登录 （二）用户注册与登录

从这一部分开始，我们将通过一个实际的完整示例来看一下如何实现用户注册与登录。在介绍注册与登录之前，我们首先介绍一下如何判断用户是否已登录，并未后面的示例编写一些基础代码。

判断用户是否已经登录

首先，在Web站点项目中添加一个MasterPage，例如MasterPage.master。在这个母版页的ContentPlaceHolder控件之前、<From>标签之内插入如下代码：

 1 <asp:Panel ID="pnlAnonymous" runat="server">
 2      <asp:LinkButton ID="btnLogin" runat="server" Text="登录" OnClick="btnLogin_Click"></asp:LinkButton> |
 3      <asp:HyperLink ID="lnkRegister" runat="server" NavigateUrl="~/register.aspx" Text="注册"></asp:HyperLink>
 4 </asp:Panel>
 5 <asp:Panel ID="pnlLoggedin" runat="server">
 6      欢迎您，<asp:Label ID="lblUserName" runat="server"></asp:Label>！
 7      [<asp:LinkButton ID="btnLogout" runat="server" Text="注销"
 8          onclick="btnLogout_Click"></asp:LinkButton>]
 9 </asp:Panel>
10 <asp:Panel ID="pnlNavigate" runat="server">
11      <asp:HyperLink ID="lnkDefault" runat="server" NavigateUrl="~/default.aspx" Text="首页"></asp:HyperLink> |
12      <asp:HyperLink ID="lnkTest" runat="server" NavigateUrl="~/test.aspx" Text="测试页"></asp:HyperLink>
13 </asp:Panel>
14 

这里提供了三个Panel控件——pnlAnonymous、pnlLoggedin和pnlNavigate。pnlAnonymous用于在用户未登录时显示“登录”和“注册”链接；pnlLoggedin用于在用户已登录时显示用户信息（如用户名和到用户个人信息页的链接等，这里仅显示用户名），以及一个“注销”按钮；pnlNavigate在任何时候都显示，是站点的导航栏。

现在我们要实现的是，判断用户是否登录，并显示pnlAnonymous和pnlLoggedin二者之一。这里，如果是使用ASP.NET 2.0 Membership，则可以方便地使用LoginView、LoginName和LoginStatus等控件实现这些功能；然而我们不得不为此忍受Membership所带来的庞大而繁多的数据库对象，或者花更多时间去编写自定义的MembershipPorvider。

这一系列的第一部分曾介绍过，如果用户已经登录，则可以从HttpContext.User.Identity.Name得到已登录用户的标识（通常是用户名）。然而，如果用户未登录，这个值则为空字符串。因此，通过判断该值是否为空字符串，即可的值用户是否已登录。

由此，我们在MasterPage的后台代码中添加Page_Init方法，在页面初始化时判断用户是否登录，并显示对应的Panel控件；此外，在用户已登录时，在pnlLoggedin中的欢迎语里插入已登录用户的用户名。

 1 protected void Page_Init(object sender, EventArgs e)
 2 {
 3      // 判断用户是否已登录。
 4      if(HttpContext.Current.User.Identity.Name == "")
 5      {
 6          // 用户未登录。
 7          pnlAnonymous.Visible = true;
 8          pnlLoggedin.Visible = false;
 9      }
10      else
11      {
12          // 用户已登录。
13          pnlAnonymous.Visible = false;
14          pnlLoggedin.Visible = true;
15 
16          lblUserName.Text = HttpContext.Current.User.Identity.Name;
17      }
18 }

此外，我们还向项目中添加了default.aspx、login.aspx、register.aspx、test.aspx这样四个页面。其中test.aspx用于检验重定向到登录页后的ReturnUrl参数值，和登录后回到之前页面的效果。

用户注册

用户注册部分并不属于验证的范畴，因此Forms Authentication也没有提供过多的支持。然而用户注册是比较简单的，只需通过一个页面搜集用户信息，并存放到数据库中即可。在这个示例中，为了方便和突出真正要讨论的内容，用户信息并不是真的放到数据库中的，而是放在一个集合里，不过通过一个DataAccess类来隐藏这种差异。理论上，一旦关闭应用程序并重新开启，放在集合中的数据就会丢失。然而实际上，再重复运行这里的示例时，用户数据并不会丢失，即便应用程序有所改动也是。这是因为ASP.NET 2.0对于Web项目都是动态重新编译的，应用程序从未直接终止过。

此外，就用户的数据实体类而言，我们仅提供了注册、登录所必需的属性——用户名、密码散列值、密码Salt值。（关于密码的加Salt值散列，请参见之前的一篇短文。）

为了进行用户注册，我们建立了register.aspx页面，该页面仅负责搜集用户信息，真正的创建用户动作在App_Code下的Membership类中完成。注意，此Membership非彼Membership，与ASP.NET 2.0 Membership没有任何关系。

首先在Membership类中添加一个静态方法CreateUser，用于创建用户。该方法完成用户实体的创建和密码的散列等功能。其代码如下所示：

 1 public static void CreateUser(string userName, string password)
 2 {
 3      UserObject user = new UserObject();
 4      user.Name = userName;
 5      user.PasswordSalt = GenerateSalt();
 6      user.PasswordHash = EncodePassword(password, user.PasswordSalt);
 7 
 8      DataAccess.AddUser(user);
 9 }
10 

这段代码非常简单，其中用到了GenerateSalt和EncodePassword方法，这两个方法用于完成salt值的生成和密码的加salt散列。其代码抽取自MembershipProvider类，进行了精简如下所示：

 1 public const string PasswordHashAlgorithmName = "SHA1";
 2 
 3 static string EncodePassword(string password, string salt)
 4 {
 5      byte[] src = Encoding.Unicode.GetBytes(password);
 6      byte[] saltbuf = Convert.FromBase64String(salt);
 7      byte[] dst = new byte[saltbuf.Length + src.Length];
 8      byte[] inArray = null;
 9      Buffer.BlockCopy(saltbuf, 0, dst, 0, saltbuf.Length);
10      Buffer.BlockCopy(src, 0, dst, saltbuf.Length, src.Length);
11 
12      HashAlgorithm algorithm = HashAlgorithm.Create(PasswordHashAlgorithmName);
13      inArray = algorithm.ComputeHash(dst);
14 
15      return Convert.ToBase64String(inArray);
16 }
17 
18 static string GenerateSalt()
19 {
20      byte[] data = new byte[0x10];
21      new RNGCryptoServiceProvider().GetBytes(data);
22      return Convert.ToBase64String(data);
23 }

然后在register.aspx页面中创建搜集用户信息的表单，这个表单非常简单，仅需在ContentPlaceHolder1内添加如下代码：

 <table>
2 <tr><td>用户名：</td><td><asp:TextBox ID="txtUserName" runat="server"></asp:TextBox></td></tr>
3 <tr><td>密码：</td><td><asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox></td></tr>
4 <tr><td colspan="2"><asp:Button ID="btnOK" runat="server" Text="确定"
5          onclick="btnOK_Click" /></td></tr>
6 </table>
7 <asp:Label ID="lblMessage" runat="server"></asp:Label>

注意这比实际的注册页要简单许多，没有对用户名和密码的格式做验证，也没有让用户重复输入密码以确保没有键入错误。但Anders Liu相信，对于聪明的读者而言这些都不是问题，所以不再赘述。

在“确定”按钮的事件处理器中添加如下代码，完成注册功能：

 1 protected void btnOK_Click(object sender, EventArgs e)
 2 {
 3      try
 4      {
 5          Membership.CreateUser(txtUserName.Text, txtPassword.Text);
 6 
 7          lblMessage.Text = "用户创建成功！";
 8      }
 9      catch(Exception ex)
10      {
11          lblMessage.Text = "错误：" + ex.Message;
12      }
13 }
14 

用户登录

用户登录大致由下面几个步骤完成：

l 根据用户名取得与用户相关的信息（用户实体对象）；

l 判断用户密码是否正确；

l 设置用户凭据Cookie并重定向到登录前页面。

我们主要还是在Membership类中来完成这些工作。为Membership类添加一个Login方法：

 1 public static void Login(string userName, string password, bool rememberMe)
 2 {
 3      // 获取用户。
 4      UserObject user = DataAccess.GetUserByName(userName);
 5      if(user == null)
 6          throw new ArgumentException("用户不存在！", "UserName");
 7 
 8      // 检查密码是否正确。
 9      string pwdHash = EncodePassword(password, user.PasswordSalt);
10      if(pwdHash != user.PasswordHash)
11          throw new ArgumentException("密码错误！", "Password");
12 
13      // 设置安全Cookie并进行重定向。
14      FormsAuthentication.RedirectFromLoginPage(userName, rememberMe);
15 }

这里重点在于检查密码，不过其工作方式已经在上一篇文章中介绍过了，此处不再赘述。读者应该注意到，对密码进行散列使用的是已经存放在数据实体中的Salt值，而不是重新生成Salt值。

这段示例代码通过抛异常来返回错误信息。读者在实际编写这个方法时，可以创建多个Exception类的派生类，分别表示不同的错误；或者采取其他无需抛异常的方式。这一点仁者见仁，智者见智。

接下来，提供一个简单的登录页，完成收集用户名和密码的工作。login.aspx页面的结构也很简单，只需在<ContentPlaceHolder1>中添加下列代码：

 <table>
2 <tr><td>用户名：</td><td><asp:TextBox ID="txtUserName" runat="server"></asp:TextBox></td></tr>
3 <tr><td>密码：</td><td><asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox></td></tr>
4 <tr><td colspan="2">
5 <asp:Button ID="btnLogin" runat="server" Text="登录" onclick="btnLogin_Click" />
6 <asp:CheckBox ID="chkRememberMe" runat="server" Text="记住我" />
7 </td></tr>
8 </table>
9 <asp:Label ID="lblMessage" runat="server"></asp:Label>

最后，在“登录”按钮的事件处理器中添加如下代码，调用刚刚写好的Membership.Login方法，完成登录。

 1 protected void btnLogin_Click(object sender, EventArgs e)
 2 {
 3      try
 4      {
 5          Membership.Login(txtUserName.Text, txtPassword.Text, chkRememberMe.Checked);
 6      }
 7      catch(Exception ex)
 8      {
 9          lblMessage.Text = "错误：" + ex.Message;
10      }
11 }
12 

至此，用户登录功能就OK了。由于之前已经完成了判断用户是否登录的代码，现在就可以运行示例，注册一个用户并尝试从各个页面进入登录页进行登录了。

用户注销

至此，我们已经为用户进入我们的系统提供了宽敞大路；但作为一个负责任的程序，我们还得确保当用户离开我们的程序时，能够“挥一挥衣袖”不留下一丝痕迹。这个安全离开的行为，我们称之为“注销”；要抹去的“痕迹”也就是登录时留下的用户凭据Cookie。

本文的第一部分已经介绍过，FormsAuthentication.SignOut方法可以协助完成这一任务。我们在MasterPage中也预先放置好了一个“注销”链接按钮，在这里，只要为该按钮添加如下事件处理器即可：

 protected void btnLogout_Click(object sender, EventArgs e)
2 {
3      FormsAuthentication.SignOut();
4      Response.Redirect(Request.RawUrl);
5 }

在这里，首先通过调用FormsAuthentication.SignOut方法移除了用户凭证Cookie。这个方法并不能自动完成跳转，因此我么必须自己完成跳转任务。关于注销后跳转到哪个页面，每个应用程序都有自己的方式（如跳到登录页或跳到首页等），这里选择的是刷新当前页。

小结

好了，到现在为止，完整的用户注册、登录功能就都实现了。由于有了FormsAuthentication类，这一任务已经非常简单了。这一部分仅仅是从实践的角度顺序操作了一下。

下一部分将介绍如何将我们自己的用户实体放到HttpContext.User属性中。