Asp.net网站后台安全，基础

在Web.config中可以手动进行配置,也可以用ASPNET管理页面对其配置.

所谓的配置,就是分两段:

1.建立一个ASP.NET角色,然后把这个角色分配给一个普通的用户

2.授权于这个新建立的角色,比如授权这个人可以登陆我的网站后台,但是只有读权限,也就是只有select权限.

那么,我们就说这个用户已经变得不普通了,而成为一位有上述权限的特殊用户.

OK,至于判断用户是否已经登陆?

首先:其实我个人认为后台页面可以保护起来,像这样,也是在Web.config里写:

<authentication mode="Forms">

<forms name=".FormsAuthCookie" loginUrl="userlogin.aspx" defaultUrl="Default.aspx" /> //粗略地说这是保护页面

</authentication>

<authorization>

<deny users="?" /> //这就是所谓的拒绝匿名访问

<allow roles="bot" /> //而允许bot这个角色

</authorization>

而bot是谁呢,他在没被分配权限之前就是普通人,而之后就不同了.

<location path="后台管理页面.aspx" allowOverride="true">

<system.web>

<authorization>

<allow users="bot"/> //允许登陆的bot访问

<deny users="*"/> //拒绝所有登陆的用户访问

</authorization>

</system.web>

</location>

从而确定了bot这个权限.

这样,即便其他用户登陆也进不去!

传值的话可以用session,当然如果用组合LOGIN控件的话就不一样了,在.NET命令中输入"aspnet_regsql",使用本身自带的数据库即可验证身份(Forms身份验证).不用专门的去判断,还是刚才所说,在CONFIG中进行配置即可.