【正文】 后發(fā)送一個(gè)表示驗(yàn)證的 Cookie，或者在 Session 中保存信息以便于追蹤接下來(lái)的訪問(wèn)授 權(quán)，其實(shí)，這些細(xì)節(jié)化的操作， .NET 都提供了一種非常有效的解決辦法，能使你從繁瑣的安全驗(yàn)證上解脫出來(lái)，而且，盡管你可能很小心地定義那些頁(yè)面不能被沒有權(quán)限的人訪問(wèn)，然而還有可能出現(xiàn)一些無(wú)法被檢查出來(lái)的漏洞讓他們跳過(guò)安全驗(yàn)證。在 .NET 的 中提供了一些網(wǎng)站安全方面的解決方案，盡管驗(yàn)證用戶合法和授權(quán)的基本思路沒有變化，但是授權(quán)的工作幾乎已經(jīng)交給 .NET 框架了，我們些代碼之需要自己驗(yàn)證用戶合法，并且告訴框架這個(gè)用戶合法即可。 + (39。 //使用上面類似的 SQL 語(yǔ)句向數(shù)據(jù)庫(kù)執(zhí)行查詢，如果用戶是合法的，將會(huì)返回?cái)?shù)據(jù)。 (xt, md5)方法將 轉(zhuǎn)換為 MD5散列值，通過(guò) MD5 加密，即便此密文被截獲，攻擊者仍無(wú)法獲得真實(shí)的密碼。 （ 3） 資源的訪問(wèn) 一旦驗(yàn)證了用戶合法，接下來(lái)要做的事就是對(duì)于用戶請(qǐng)求的資源，授權(quán)他們是否能夠訪問(wèn)。通配符 : * 表示任何人， ? 表示匿名 (未經(jīng)身份驗(yàn)證的 )用戶。 上述僅對(duì)目錄進(jìn)行定義，程序員不用在頁(yè)面上添加任何代碼，即可完整地實(shí)現(xiàn)了授權(quán)方案。角色的分配工作就需要再這里進(jìn)行。++39。 string iCount=(())。 } } 我們調(diào)用 方法，在原有 User 對(duì)象的基礎(chǔ)上為其加入角色。全局的 User 對(duì)象提供了一個(gè)方法IsInRole(string RoleName)方法用來(lái)在代碼中檢測(cè)用戶是否擁有某種角色。否則遇到問(wèn)題時(shí)不能自己解決，延緩開發(fā)進(jìn)度，畢業(yè)設(shè)計(jì)也就不可能完成得了。 所遇到的問(wèn)題及解決方法 （ 1）問(wèn)題： string yonghubianhao=。 （ 2）問(wèn) 題： DataGrid1 刪除列，點(diǎn)擊時(shí)彈出對(duì)話框，確認(rèn)則刪除記錄，取消則不刪除記錄；解決方法：在 DataGrid1 屬性生成器中刪除列的文本（ T）中添加 div id=de onclick=javascript:return confirm(39。新頁(yè)面 39。在解決這些困難的過(guò)程中提高了我的學(xué)習(xí)能力，解決問(wèn)題的能力和實(shí)際工作的能力。 string sqlstr3=select * from zhoucibiao。 string sqlstr7=select * from kecheng。 SqlDataAdapter da3=new SqlDataAdapter(sqlstr3,conn)。 SqlDataAdapter da7=new SqlDataAdapter(sqlstr7,conn)。DataSet ds3=new DataSet()。DataSet ds7=new DataSet()。(xingqi)。(shiyanshiming)。 (ds5,jieci)。 = [xuenian].DefaultView。 = [banji].DefaultView。 = zhouci。 = kechengmingcheng。 = xingqi。 = shiyanshiming。()。 } catch{ ()。(e)。 += new ()。 string xingqi=。 string shiyanmingcheng=。++39。 string yonghuming=(())。 and xuenian=39。 and xingqi=39。 and shiyanshimingcheng=39。()。)。 for(i=0。 and xuenian=39。 and xingqi=39。 and shiyanshimingcheng=39。 int icount13=(())。+banji+39。 string sqlstr10=insert into shiyanshianpaibiao (niandu,xuenian,zhouci,xingqi,jieci,banji,kechengmingcheng,shiyanshimingcheng,shiyanmingcheng,shenqingren,renshu) values(39。,39。,39。,39。,39。,39。 ()。)。 SqlCommand cmd14=new SqlCommand(sqlstr14,conn)。+niandu+39。+zhouci+39。+jieci+39。+kechengmingcheng+39。+shiyanmingcheng+39。+irenshu14+39。 }} else {string sqlstr14=select renshu from banjibiao where banji=39。 int irenshu14=(())。+xuenian+39。+xingqi+39。+banji+39。++39。+yonghuming+39。 SqlCommand cmd15=new SqlCommand(sqlstr15,conn)。)。} } else{int k。 string xuenian=。 string banji=。 SqlConnection conn=new SqlConnection([sysapgl])。 SqlCommand cmd11=new SqlCommand(sqlstr11,conn)。k5。+banji+39。 string sqlstr15=insert into shiyanshianpaibiao (niandu,xuenian,zhouci,xingqi,jieci,banji,kechengmingcheng,shiyanshimingcheng,shiyanmingcheng,shenqingren,renshu) values(39。,39。,39。,39。,39。,39。 ()。 =false。 =true。 項(xiàng)目背景 隨著我國(guó)經(jīng)濟(jì)的高速發(fā)展 ，中小企業(yè)在社會(huì)經(jīng)濟(jì)中扮演的角色 越來(lái)越重要，已成為 最多元化和最具創(chuàng)新精神的部分。如何借助 IT 手段、如何通過(guò)信息化，加強(qiáng)核心競(jìng)爭(zhēng)力，實(shí)現(xiàn)持續(xù) 發(fā)展已成為中小企業(yè)亟待解決的關(guān)鍵問(wèn)題 。 (3) 管理員具有最高級(jí)管理權(quán)限，包括基本資料維護(hù)（教師維護(hù)，課程維護(hù)，班級(jí)維護(hù)，實(shí)驗(yàn)室維護(hù)，學(xué)期維護(hù)，星期維護(hù)，節(jié)次維護(hù)，周次維護(hù)），實(shí)驗(yàn)室安排管理，用戶管理等權(quán)限 。 申請(qǐng)實(shí)驗(yàn)室模塊 本模塊的功能是注冊(cè)用戶和管理員可以申請(qǐng)使用實(shí)驗(yàn)室，記錄在一個(gè)實(shí)驗(yàn)室安排初始表里。用戶可以刪除自己在實(shí)驗(yàn)室安排排初始表里的記錄，即取消申請(qǐng)，也可查看實(shí)驗(yàn)室的申請(qǐng)情況及實(shí)驗(yàn)室的最終安排情況。 個(gè)人設(shè)置 當(dāng)前用戶可以在這個(gè)模塊里進(jìn)行個(gè)人設(shè)置：密碼修改，但不支持用戶名修改，用戶名的修改由管理員完成。該流程圖如（ 圖 22系統(tǒng)流程圖） 所示。 （ 3）教師維護(hù)（分任課教師和實(shí)驗(yàn)指導(dǎo)教師）、課程維護(hù)、班級(jí)維護(hù)、實(shí)驗(yàn)室維護(hù)、學(xué)期維護(hù)、星期維護(hù)、節(jié)次維護(hù)、周次維護(hù)； （ 4）對(duì)所申請(qǐng)實(shí)驗(yàn)室進(jìn)行自動(dòng)安排管理，對(duì)同一實(shí)驗(yàn)室，同一時(shí)間、不同班級(jí)進(jìn)行沖突檢測(cè)，可以進(jìn)行手動(dòng)調(diào)整，仍要進(jìn)行沖突檢測(cè) ； （ 5）審核安排實(shí)驗(yàn)，停止當(dāng)前周次實(shí)驗(yàn)室申請(qǐng)； （ 6）打印實(shí)驗(yàn)安排表 第三 章 系統(tǒng)設(shè)計(jì) 數(shù)據(jù)庫(kù)設(shè)計(jì) 數(shù)據(jù)庫(kù)的建立不僅能保證數(shù)據(jù)能夠盡可能地被有效地利用，還能提高應(yīng)用開發(fā)的效率。 表 31 用戶信息表 字 段 名 稱 字段描述 主 鍵 類 型 長(zhǎng)度 說(shuō) 明 yonghubianhao 用戶編號(hào) 是 字符型 4 系 統(tǒng)自動(dòng)分配序號(hào)。教師表結(jié)構(gòu)如表 33 所示。班級(jí)表結(jié)構(gòu)如表 35 所示。學(xué)年表結(jié)構(gòu)如表 37 所示。周次信息表結(jié)構(gòu)如表 39 所示。實(shí)驗(yàn)室安排初表結(jié)構(gòu)如表 311 所示。 本 說(shuō)明書 將介紹如下內(nèi)容： （ 1）關(guān) 于登陸驗(yàn)證和授權(quán) 很多網(wǎng)站都有登陸對(duì)話框，讓事先已經(jīng)注冊(cè)的用戶驗(yàn)證，以便為他們提供個(gè)性化的服務(wù)等。 （ 2） 用 Forms 驗(yàn)證模式 要使用啟用 Forms 驗(yàn)證模式， 這將告訴 .NET，你的網(wǎng)站使用 Forms 驗(yàn)證模式， .NET將不參與驗(yàn)證用戶的工作，而是將這個(gè)工作交給你完成，你必須自己編寫一些代碼來(lái)驗(yàn)證用戶合法，并且報(bào)告給 .NET 用戶是合法的。,_) + 39。 if (...) //根據(jù)條件判定用戶是合法的 { //下面的語(yǔ)句告訴 .NET 發(fā)送一個(gè)驗(yàn)證 Cookie 給用戶： (userid, false) ()。 當(dāng)確認(rèn)用戶驗(yàn)證是合法的，則調(diào)用(userid, false)方法，發(fā)送驗(yàn)證 Cookie，此方法傳遞兩個(gè)參數(shù)，一個(gè)是代表用戶的標(biāo)示，一般來(lái)說(shuō)，在接下來(lái)確認(rèn)用戶唯一身份的就是從數(shù)據(jù)庫(kù)中獲得的 userid。重新回到 ，在網(wǎng)站的任何目錄中都可以使用 ，他們的設(shè)置是傳遞繼承的。 authorization deny users=? / /authorization / /configuration 上述 內(nèi)容中 deny users=? 將告訴 .NET，此目錄拒絕匿名用戶的訪問(wèn)，也就是沒有驗(yàn)證的用戶。 屬性可以獲得用戶的 Name，即在驗(yàn)證時(shí)的 SetAuthCookie 方法中傳遞的 userid。 public void Application_AuthenticateRequest(object。 當(dāng)網(wǎng)站開始接受用戶請(qǐng)求時(shí)，就伴隨著驗(yàn)證，將激發(fā) Application_AuthenticateRequest 事件，在 。沒有登陸的情況下是無(wú)法訪問(wèn)的。可以允許或拒絕不同的用戶或角色訪問(wèn) 應(yīng)用程序資源。發(fā)送了 Cookie 后，即可調(diào)用跳轉(zhuǎn)語(yǔ)句跳轉(zhuǎn)到指定地方。,_)將用戶輸入的文本中單引號(hào)替換為下劃線，以防止 SQL 注入攻擊。 + (xt, md5) + 39。 例如我們?cè)? txtUserName 和 txtPassword，在數(shù)據(jù)庫(kù)中，保存了用戶名 UserName和密碼 UserPassword，使用 btnLogin 按鈕的 Click 事件來(lái)驗(yàn)證用戶： private void btnLogin_Click(object sender, EventArgs e) { string sql = SELECT userid FROM Users WHERE UserName = 39。 以上這種網(wǎng)站本身提供對(duì)話框的作法在 .NET 中被稱之為 Forms驗(yàn)證模式，接下來(lái)將會(huì)講述這種驗(yàn)證模式。實(shí)驗(yàn)室安排終表結(jié)構(gòu)如表 312 所示。節(jié)次信息表結(jié)構(gòu)如表 310 所示。學(xué)期表結(jié)構(gòu)如表 38 所示。系部表結(jié)構(gòu)如表 36 所示。課程信息表結(jié)構(gòu)如表 34 所示。實(shí)驗(yàn)室信息表結(jié)構(gòu)如表 32 所示。數(shù)據(jù)庫(kù)結(jié)構(gòu)如（圖 31 實(shí)驗(yàn)室安排管理系統(tǒng)數(shù)據(jù)庫(kù)結(jié)構(gòu)）所示： 圖 31 實(shí)驗(yàn)室安排管理系統(tǒng)數(shù)據(jù)庫(kù)結(jié)構(gòu) 在考慮到實(shí)驗(yàn)室目前及今后管理和輔助決策的需要，我們?cè)跀?shù)據(jù)庫(kù)里建立的主要表格如用戶信息表（ yhxxb） 實(shí)驗(yàn)室信息表 (shiyanshixinxibiao) 課程信息表 (kecheng) 班級(jí)表 (banjibiao) 教師表 (jiaoshibiao) 實(shí) 驗(yàn) 室 安 排 初 表(shiyanshianpaibiao) 系部表 (xibiao) 學(xué)年表（ xuenianbiao） 學(xué)期表 (xueqibiao) 周次表（ zhoucibiao） 節(jié)次表 (jiecibiao) 實(shí)驗(yàn)室安排管理數(shù)據(jù)庫(kù)（ sysapgl） 實(shí) 驗(yàn) 室 安 排 終 表(zuizhonganpaibiao) 下： （ 10） 戶信息表（ yhxxb） 戶信息表用于 保存用戶權(quán)限設(shè)置信息。 對(duì)本系統(tǒng)的用戶需求歸納如下： （ 1）教師查看當(dāng)前實(shí)驗(yàn)室被申請(qǐng)情況，分析出此時(shí)一周內(nèi)各實(shí)驗(yàn)室的被申請(qǐng)情況。該頁(yè)面是不用受權(quán)的，即支持匿名用戶查看。 實(shí)驗(yàn)室安排管理 管理員對(duì)實(shí)驗(yàn)室安排初始表進(jìn)行查看，管理， 如果沒有申請(qǐng)沖突，則確認(rèn)，對(duì)初始表的數(shù)據(jù)記錄到一個(gè)實(shí)驗(yàn)室安排最終表里。如果所有的實(shí)驗(yàn)室已被申請(qǐng)，則系統(tǒng)將直接將當(dāng)前用戶申請(qǐng)的提交到實(shí)驗(yàn)室安排初始表里由管理員進(jìn)行手動(dòng)安排。 系統(tǒng)開發(fā)的意義 本系統(tǒng)具有網(wǎng)絡(luò)的優(yōu)越性，便于教師在任何可以上網(wǎng)的地方申請(qǐng)實(shí)驗(yàn)室，提高管理人員管理維護(hù) 效率 。 本實(shí)驗(yàn)室安排管理系統(tǒng)我們學(xué)院計(jì)算機(jī)系實(shí) 驗(yàn)室安排管理 系統(tǒng)，它具備數(shù)據(jù)處理、控制功能，具體作用如下： (1) 教師可以通過(guò)注冊(cè)取得相關(guān)權(quán)限網(wǎng)上申請(qǐng)實(shí)驗(yàn) 。 這些問(wèn)題已成為 制約中小企業(yè)發(fā)展的瓶頸， 嚴(yán)重制約了中小企 業(yè)的發(fā)展壯大。 =true。 =false。}} private void Button2_Click(object sender, e) {()。)。,39。,39。,39。,39。,39。 ()。j2。 string yonghuming=(())。++39。 string