【正文】 表用于保存系部信息。系部表結(jié)構(gòu)如表 36 所示。 表 36 系部表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長(zhǎng) 度 說(shuō) 明 bianhao 編號(hào) 是 字符型 4 系統(tǒng)自動(dòng)分配序號(hào) xibie 系別 字符型 50 非空 （ 7） 學(xué)年表（ xuenianbiao） 學(xué)年表用于保存學(xué)年信息。學(xué)年表結(jié)構(gòu)如表 37 所示。 表 37 學(xué)年表表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長(zhǎng) 度 說(shuō) 明 bianhao 編號(hào) 是 字符型 4 系統(tǒng)自動(dòng)分配序號(hào) xuenian 學(xué)年 字符型 8 非空 （ 8） 學(xué)期表 (xueqibiao) 學(xué)期表用于保存學(xué)期信息。學(xué)期表結(jié)構(gòu)如表 38 所示。 表 38 學(xué)期表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長(zhǎng) 度 說(shuō) 明 bianhao 編號(hào) 是 字符型 4 系統(tǒng)自動(dòng)分配序號(hào) xueqi 學(xué)期 字符型 8 非空 （ 9） 周次表（ zhoucibiao） 周次表用于保存周次信息。周次信息表結(jié)構(gòu)如表 39 所示。 表 39 周次表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長(zhǎng) 度 說(shuō) 明 bianhao 編號(hào) 是 字符型 4 系統(tǒng)自動(dòng)分配序號(hào) zhouci 周次 字符型 8 非空 (10) 節(jié)次表 (jiecibiao) 節(jié)次表用于保存 節(jié)次信息。節(jié)次信息表結(jié)構(gòu)如表 310 所示。 表 310 周次表 字 段 名 稱 字 段 描 述 主 鍵 類 型 長(zhǎng) 度 說(shuō) 明 bianhao 編號(hào) 是 字符型 4 系統(tǒng)自動(dòng)分配序號(hào) jieci 節(jié)次 日期 8 非空 (11) 實(shí)驗(yàn)室安排初表（ shiyanshianpaibiao） 該表用于保存用戶申請(qǐng)實(shí)驗(yàn)室信息。實(shí)驗(yàn)室安排初表結(jié)構(gòu)如表 311 所示。 表 311 實(shí)驗(yàn)室安排初表 字 段 名 稱 字段描述 主 鍵 類 型 長(zhǎng)度 說(shuō) 明 bianhao 編號(hào) 是 字符型 4 系統(tǒng)自 動(dòng)分配序號(hào) xuenian 學(xué)年 字符型 8 非空 xueqi 學(xué)期 字符型 8 非空 zhouci 周次 字符型 8 非空 jieci 節(jié)次 字符型 8 非空 banji 班級(jí) 字符型 8 非空 renshu 人數(shù) 字符型 4 非空 shenqingren 申請(qǐng)人 字符型 50 非空 kechengmingcheng 課程名稱 字符型 50 shiyanmingcheng 實(shí)驗(yàn)名稱 字符型 50 shiyanshimingcheng 實(shí)驗(yàn)室名稱 字符型 50 (12) 實(shí)驗(yàn)室安排終表（ shiyanshianpaibiao） 該表用于保存實(shí)驗(yàn)室最終安排信息。實(shí)驗(yàn)室安排終表結(jié)構(gòu)如表 312 所示。 表 312 實(shí)驗(yàn)室安排終表 字 段 名 稱 字段描述 主 鍵 類 型 長(zhǎng)度 說(shuō) 明 bianhao 編號(hào) 是 字符型 4 系統(tǒng)自動(dòng)分配序號(hào) xuenian 學(xué)年 字符型 8 非空 xueqi 學(xué)期 字符型 8 非空 zhouci 周次 字符型 8 非空 jieci 節(jié)次 字符型 8 非空 banji 班級(jí) 字符型 8 非空 renshu 人數(shù) 字符型 4 非空 shenqingren 申請(qǐng)人 字符型 50 非空 kechengmingcheng 課程名稱 字符型 50 shiyanmingcheng 實(shí)驗(yàn)名稱 字符型 50 shiyanshimingcheng 實(shí) 驗(yàn) 室 名稱 字符型 50 第四章 系統(tǒng)實(shí)施 關(guān)鍵技術(shù) :用 NET 框架創(chuàng)作安全性網(wǎng)站 很多 人 在嘗試寫(xiě)出帶有登陸這樣功能的網(wǎng)站，其方法幾乎都是驗(yàn)證用戶的登陸合法，然后發(fā)送一個(gè)表示驗(yàn)證的 Cookie，或者在 Session 中保存信息以便于追蹤接下來(lái)的訪問(wèn)授 權(quán)，其實(shí)，這些細(xì)節(jié)化的操作， .NET 都提供了一種非常有效的解決辦法，能使你從繁瑣的安全驗(yàn)證上解脫出來(lái)，而且，盡管你可能很小心地定義那些頁(yè)面不能被沒(méi)有權(quán)限的人訪問(wèn)，然而還有可能出現(xiàn)一些無(wú)法被檢查出來(lái)的漏洞讓他們跳過(guò)安全驗(yàn)證。 本 說(shuō)明書(shū) 將介紹如下內(nèi)容： （ 1）關(guān) 于登陸驗(yàn)證和授權(quán) 很多網(wǎng)站都有登陸對(duì)話框，讓事先已經(jīng)注冊(cè)的用戶驗(yàn)證，以便為他們提供個(gè)性化的服務(wù)等?？梢园堰@個(gè)過(guò)程看作是兩件事情的發(fā)生：驗(yàn)證和授權(quán)！登陸的作用是驗(yàn)證請(qǐng)求登陸的用戶是否合法，而授權(quán)則是驗(yàn)證合法的用戶在請(qǐng)求資源時(shí)，根據(jù)他們的權(quán)限決定是訪 問(wèn)還是拒絕。 以上這種網(wǎng)站本身提供對(duì)話框的作法在 .NET 中被稱之為 Forms驗(yàn)證模式，接下來(lái)將會(huì)講述這種驗(yàn)證模式。在 .NET 的 中提供了一些網(wǎng)站安全方面的解決方案，盡管驗(yàn)證用戶合法和授權(quán)的基本思路沒(méi)有變化，但是授權(quán)的工作幾乎已經(jīng)交給 .NET 框架了，我們些代碼之需要自己驗(yàn)證用戶合法，并且告訴框架這個(gè)用戶合法即可。 （ 2） 用 Forms 驗(yàn)證模式 要使用啟用 Forms 驗(yàn)證模式， 這將告訴 .NET，你的網(wǎng)站使用 Forms 驗(yàn)證模式， .NET將不參與驗(yàn)證用戶的工作，而是將這個(gè)工 作交給你完成，你必須自己編寫(xiě)一些代碼來(lái)驗(yàn)證用戶合法，并且報(bào)告給 .NET 用戶是合法的。 .NET 將會(huì)發(fā)送一個(gè)驗(yàn)證 Cookie 到用戶，隨后的訪問(wèn)中， .NET 以此 Cookie 為依據(jù)，來(lái)執(zhí)行授權(quán)的操作。 例如我們?cè)? txtUserName 和 txtPassword，在數(shù)據(jù)庫(kù)中，保存了用戶名 UserName和密碼 UserPassword，使用 btnLogin 按鈕的 Click 事件來(lái)驗(yàn)證用戶： private void btnLogin_Click(object sender, EventArgs e) { string sql = SELECT userid FROM Users WHERE UserName = 39。 + (39。,_) + 39。 AND UserPassword = 39。 + (xt, md5) + 39。 //使用上面類似的 SQL 語(yǔ)句向數(shù)據(jù)庫(kù)執(zhí)行查詢，如果用戶是合法的，將會(huì)返回?cái)?shù)據(jù)。 if (...) //根據(jù)條件判定用戶是合法的 { //下面的語(yǔ)句告訴 .NET 發(fā)送一個(gè)驗(yàn)證 Cookie 給用戶： (userid, false) ()。 //定位到登陸后頁(yè)面 } else { //用戶不合 法，提示錯(cuò)誤信息 } } 以上代碼中， (39。,_)將用戶輸入的文本中單引號(hào)替換為下劃線，以防止 SQL 注入攻擊。 (xt, md5)方法將 轉(zhuǎn)換為 MD5散列值，通過(guò) MD5 加密，即便此密文被截獲，攻擊者仍無(wú)法獲得真實(shí)的密碼。 當(dāng)確認(rèn)用戶驗(yàn)證 是合法的，則調(diào)用(userid, false)方法，發(fā)送驗(yàn)證 Cookie，此方法傳遞兩個(gè)參數(shù)，一個(gè)是代表用戶的標(biāo)示，一般來(lái)說(shuō)，在接下來(lái)確認(rèn)用戶唯一身份的就是從數(shù)據(jù)庫(kù)中獲得的 userid。第二個(gè)參數(shù)告訴 .NET 是否寫(xiě)入持續(xù)的 Cookie，如果為 true，則 Cookie 將被持續(xù)，下次用戶再次訪問(wèn)時(shí)， Cookie 仍存在（相當(dāng)于記住用戶，可以提供這樣的復(fù)選框讓用戶來(lái)決定是否持續(xù) Cookie）。發(fā)送了 Cookie 后，即可調(diào)用跳轉(zhuǎn)語(yǔ)句跳轉(zhuǎn)到指定地方。 （ 3） 資源的訪問(wèn) 一旦驗(yàn)證了用戶合法，接下來(lái)要做的事就是對(duì)于用戶請(qǐng)求的資源，授權(quán)他們是否能夠訪問(wèn)。重新回到 ，在網(wǎng)站的任何目錄中都可以使用 ，他們的設(shè)置是傳遞繼承的。 例如在 users 目錄中存放的均是當(dāng)用戶登錄后才能訪問(wèn)的頁(yè)面，則在這個(gè)目錄中創(chuàng)建一個(gè)，內(nèi)容如下： ?xml version= encoding=utf8 ? configuration ! 授權(quán) 此節(jié)設(shè)置應(yīng)用程序的授權(quán)策略?？梢栽试S或拒絕不同的用戶或角色訪問(wèn) 應(yīng)用程序資源。通配符 : * 表示任何人， ? 表示匿名 (未經(jīng)身份驗(yàn)證的 )用戶。 authorization deny users=? / /authorization / /configuration 上述內(nèi)容中 deny users=? 將告訴 .NET，此目錄拒絕匿名用戶的訪問(wèn)，也就是沒(méi)有驗(yàn)證的用戶。當(dāng)用戶試圖請(qǐng)求此目錄中的資源，將會(huì)被重新定向到 ，要求登陸。沒(méi)有登陸的情況下是無(wú)法訪問(wèn)的。 上述僅對(duì)目錄進(jìn)行定義，程序員不用在頁(yè)面上添加任何代碼，即可完整地實(shí)現(xiàn)了授權(quán)方案。 屬性可以獲得用戶的 Name，即在驗(yàn)證時(shí)的 SetAuthCookie 方法中傳遞的 userid。 （ 4） 于角色的授權(quán) 其基本原理是，一旦用戶驗(yàn)證合法，他們就被分配角色，用戶可以使一個(gè)或者若干和角色，而資源的授權(quán)面向角色 ，這樣，針對(duì)不同的角色，就可以授予不同的權(quán)限，沒(méi)有某種角色類型的用戶試圖訪問(wèn)需要這種角色的資源將會(huì)被拒絕。 當(dāng)網(wǎng)站開(kāi)始接受用戶請(qǐng)求時(shí)，就伴隨著驗(yàn)證，將激發(fā) Application_AuthenticateRequest 事件，在 。角色的分配工作就需要再這里進(jìn)行。 public void Application_AuthenticateRequest(object sender, EventArgs e) { if() { string[] rolesStrArr=new string[1]。 SqlConnection conn=new SqlConnection([sysapgl])。 string sqlstr=select yonghuquanxian from yhxxb where yonghubianhao= 39。++39。 ()。 SqlCommand cmd=new SqlCommand(sqlstr,conn)。 ()。 string iCount=(())。 if(iCount==管理員 ) { rolesStrArr[0]=管理員 。 } else { rolesStrArr[0]=普通用戶 。 } =new (,rolesStrArr)。 } } 我們調(diào)用 方法，在原有 User 對(duì)象的基礎(chǔ)上為其加入角色。 一旦用戶被授予訪問(wèn)角色之后，在 中就可以配置針對(duì)不同角色的訪問(wèn)。例如在管理員 admin 目錄內(nèi) configuration location path= authorization allow roles=管理員 / deny users=* / /authorization / /location /configuration 上述配置只允許管理員角色才能被授權(quán)。資源默認(rèn)是任何人都訪問(wèn)的，所以要在下面再添加 deny users=* /表示對(duì)任何用戶拒絕。全局的 User 對(duì)象提供了一個(gè)方法IsInRole(string RoleName)方法用來(lái)在代碼中檢測(cè)用戶是否擁有某種角色。如果他擁有這種角色，將返回 true。 第 五 章 總結(jié) 心得體會(huì) 通過(guò)這次的畢業(yè)設(shè)計(jì) ,我對(duì)前面學(xué)過(guò)的許多課程有了更為深刻的理解。我們的專業(yè)知識(shí)還不夠訓(xùn)練 ，并沒(méi)有做過(guò)一個(gè)像樣的動(dòng)態(tài)網(wǎng)頁(yè)，遠(yuǎn)沒(méi)有做 web 管理系統(tǒng)的經(jīng)驗(yàn)，所以參考其它的作品會(huì)使我們?cè)陂_(kāi)發(fā)過(guò)程中得到幫助，還有，就是網(wǎng)上有好多比較好的參考資料，網(wǎng)上論壇有好多高手，可以從他們那里得到幫助。否則遇到問(wèn)題時(shí)不能自己解決，延緩開(kāi)發(fā)進(jìn)度，畢業(yè)設(shè)計(jì)也就不可能完成得了。 系統(tǒng)功能完成情況 經(jīng)過(guò)自己的努力學(xué)習(xí)和摸索，老師和其他高手的指導(dǎo)，我的這個(gè)實(shí)驗(yàn)室安排管理系統(tǒng)也經(jīng)基本完成。實(shí)現(xiàn)了用戶的登錄，實(shí)驗(yàn)室的申請(qǐng)，實(shí)驗(yàn)室安排管理，用戶管理，個(gè)人設(shè)置和部分基本資料維護(hù)。 本系統(tǒng)具有較強(qiáng)的智能化，方便教師的實(shí)驗(yàn)室申請(qǐng)，減 輕管理人員的工作，且系統(tǒng)的交互性也比較好，能給用戶適當(dāng)?shù)奶崾?，使用戶作出相關(guān)操作。 所遇到的問(wèn)題及解決方法 （ 1）問(wèn)題： string yonghubianhao=。語(yǔ)名 yonghubianhao總是獲得第一個(gè)選項(xiàng)的值。解決方法： Page_Load(object sender, e)事件中用 if (!IsPostBack) 判斷是否為第一次加該頁(yè)。如果是才對(duì) Dro