网站结构

webconfig

设置为form验证, 并拒绝所有的匿名用户

如果我们徐凯开放首页比如说Home/Index,那么做如下配置.  如果是Home文件夹下所有的页面都能访问, 那么 path=”Home”即可

cookie

启动程序, 来到登录页面. 如果登录成功, 那么我们需要写入cookie.

登陆页面

<%@ Page Language="C#" Inherits="System.Web.Mvc.ViewPage
      
       " %>
      

<% using( Html.BeginForm()){
    %>

登录

<%: Html.TextBoxFor(m => m.UserName, new { @class = "log" })%>

<%: Html.TextBoxFor(x => x.RealName) %>

<%};%>

处理方法

[HttpPost]

public ActionResult Index(Models.User model) {

if (model.UserName == "admin")

{

//创造票据

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(model.UserName, false, 1);

//加密票据

string ticString = FormsAuthentication.Encrypt(ticket);

//输出到客户端

Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, ticString));

//跳转到登录前页面

return Redirect(HttpUtility.UrlDecode( Request.QueryString["ReturnUrl"]));

}

return View();

}

退出.

通过

 

new

 FormsAuthenticationTicket(model.UserName,

 

false,

 

时长); 设置.AXPXAUTH过期时长. 但是如果

newHttpCookie(FormsAuthentication.FormsCookieName, ticString) 这个cookie对象没有设置过期时间, 那么上面设置的时长再长, cookie的生命周期还是浏览器的生命周期.

public ActionResult Logout() {

FormsAuthentication.SignOut();

return Redirect(FormsAuthentication.LoginUrl);

}

这样, 在默认首页 home/index 中可以得到

八卦一下. User的值是在哪里获得的呢?我们加载进来一个DLL, 自定义的httpmodule

跟踪一下. 发现在application_AuthenticateRequest事件里面, 我们可以获得User对象了.