Web应用开发讲义.doc

第一讲 Web应用开发语言及环境概述CS和BS型模式随着Internet和WWW的流行，以往的主机终端和CS都无法满足当前的全球网络开放、互连、信息随处可见和信息共享的新要求，于是就出现了BS型模式，即浏览器服务器结构。B/S模式最大特点是：用户可以通过WWW浏览器去访问Internet上的文本、数据、图像、动画、视频点播和声音信息，这些信息都是由许许多多的Web服务器产生的，而每一个Web服务器又可以通过各种方式与数据库服务器连接，大量的数据实际存放在数据库服务器中。客户端除了WWW创览器，一般无须任何用户程序，只需从Web服务器上下载程序到本地来执行，在下载过程中若遇到与数据库有关的指令，由Web服务器交给数据库服务器来解释执行，并返回给Web服务器，Web服务器又返回给用户。在这种结构中，将许许多多的网连接到一块，形成一个巨大的网，即全球网。而各个企业可以在此结构的基础上建立自己的Intranet。B/S（Browser/Server，浏览器/服务器）模式又称B/S结构。它是随着Internet技术的兴起，对C/S模式应用的扩展。在这种结构下，用户工作界面是通过IE浏览器来实现的。B/S模式最大的好处是运行维护比较简便，能实现不同的人员，从不同的地点，以不同的接入方式（比如LAN, WAN, Internet/Intranet等）访问和操作共同的数据；最大的缺点是对企业外网环境依赖性太强，由于各种原因引起企业外网中断都会造成系统瘫痪。web应用程序的组成web应用程序由三部分组成：传统HTML客户端程序(脚本)（Javascript）服务器端程序（asp、jsp、）第二讲 visual studio 2005 编程环境介绍vs界面的组成展示一个家教网站的构成代码分离模式介绍 runat=server如何新建一个网站 虚拟的iis，网站的专用目录事件编程的概念第四讲 数据验证服务器控件RequiredFieldValidator 重要属性：ErrorMessage;ControlToValidate;Text; InitialValue(必须更改内容)CompareValidator重要属性：ControlToValidate; ControlToCompare;RangeValidator重要属性：type ; MaximumValue; minimumValue实验三 为网站设计master实验目的：掌握母板页和内容页的概念；实验步骤：在例程网站上按照原master页面（如图所示）建立自己的master页面，要求建立另一种样式的布局，如左边栏可以放置于右边栏，建立两个内容容器区域。 建立三个.Aspx网页，lanmu_1.aspx、lanmu_2.aspx、lanmu_3.aspx，其中第一个继承原有的master，第二个继承新建立的master，第三个为普通网页没有母板。打开web.sitemap为栏目1、栏目2、栏目3建立url分别对应于这三个文件启动网站看运行效果 第六讲主题和皮肤展示例程网站并赋予不同的主题。同时介绍什么是主题。为单个网页赋予主题为整个网站赋予主题主题的组成：主题专用文件夹、css、 skin、 图片文件夹css和skin的介绍如何自己创建css和skin实验四 主题和skin实验目的：深刻理解css和skin文件并能建立简单的例子；能熟练使用css和skin文件美化和规范化网页实验步骤：打开试验三所创建的网站，并为网站添加专用目录App_Themes，把老师所给的主题MSN_Morning拷贝到该目录下；清楚master页面中各单元格的背景色以及图片如下图所示：为相应的单元格添加css类目，如：class=”title”。打开default.aspx文件，为page对象添加属性Theme =MSN_Morning；在文件中添加控件calender，并为其添加属性SkinID=CalendarView网页将会呈现如下形状：在default.aspx文件中添加另一个calender控件；为两个calender控件设置不同的SkinID，从而达到不同的现实效果。第七讲 数据绑定展示例子网站从数据库显示数据介绍Sqldatasource数据源控件：参数：重点介绍control和querystring参数类型（get方法）和form（post方法）；介绍dataview控件：启用分页、启用排序、PageSize属性控制一页显示的记录数量、用PagerSettings元素定制页面定制dataview中的列（例子：hyperlinkfield）编辑dataview中的行：1、为Sqldatasource数据源控件添加updatecommand属性以及parameter参数 2、为dataview控件添加AutoGenerateEditButton=true属性或者添加commandfield列第八讲 ADO.NET数据库操作（一）ADO.NET主要的两类数据提供程序：SQL Server .NET Framework数据提供程序，针对SQL Server数据库OLEDB.NET Framework数据提供程序，针对Access数据库下表概括了组成 .NET Framework 数据提供程序的四个核心对象。对象说明Connection建立与特定数据源的连接。所有 Connection 对象的基类均为DbConnection类。Command对数据源执行命令。公开 Parameters，并且可以通过 Connection 在 Transaction 的范围内执行。所有 Command 对象的基类均为DbCommand类。DataReader从数据源中读取只进且只读的数据流。所有 DataReader 对象的基类均为DbDataReader类。DataAdapter用数据源填充 DataSet 并解析更新。所有 DataAdapter 对象的基类均为DbDataAdapter类。ADO.NET数据访问流程Connection对象的常用属性为：connectionstring、state。常用的方法为：open()、close()。看例子，default.aspxCommand对象的属性和方法：（参见msdn、）更新数据库用ExecuteNonQuery方法执行updata、insert、delete命令查询数据用comm.ExecuteReader();利用DataReader对象有连接的逐条读取并显示。参见例子：datareader.aspx和insert.aspx第九讲 ADO.NET数据库操作（二）DataSet,顾名思义：数据集。是数据的内存驻留表示形式，它提供了独立于数据源（数据库）的一致关系编程模型。一个DataSet表示整个数据集，其中包含多个数据表（DataTable）。由于DataSet独立于数据源（数据库），它可以包含应用程序本地的数据，也可以包含来自于多个数据源的数据。与现有数据源的交互通过DataAdapter来控制。DataTable，顾名思义：数据表。是也是数据的内存驻留形式，与DataSet的区别是，DataSet包含多个数据表，而DataTable只包含一个表。他们的关系如下所示。DataAdapter对象：DataAdapter对象是DataSet以及DataTable与物理数据库之间的桥梁，通过DataAdapter对象在物理数据库与内存数据之间传输。DataSet 对象模型常用方式：Dataset ds=new dataset(); /建立dataset类型的对象dsDatatable dt=new dadatable();Dataadapter da=new dataadapter(comm); /建立dataadapter对象Da.fill(ds,”表名”); /填充数据集Da.file(dt);实验六 ADO.NET数据库操作实验目的：掌握对象的用法（相应代码附后参考）实验程序完成功能：1、用ADO.NET相关对象从数据库取得数据并显示在Gridview中； 2、能对所选择的记录进行编辑； 3、添加新的记录。实验步骤：1、 附加数据库；2、 建立页面default。Aspx，在页面上放置相关空间，如图所示：3、 为Gridview控件添加AutoGenerateSelectButton=true属性，似的能够选择记录。4、 为Gridview控件添加GridView1_SelectedIndexChanging事件。在该事件中加入如下代码：5、 添加自定义函数以获得数据绑定：6、 页面的page_load事件：7、 为按钮添加代码：第十讲 用户与角色管理（一）几乎所有的系统中都会使用到访问控制和角色管理这样的功能，例如：新建、修改、删除用户和角色，为用户分配角色，管理角色中的用户等等。于是MS在ASP.NET 2.0开始，实现了这些功能，使得我们在开发中，不需要考虑这方面的内容，把更多的精力投入到业务逻辑的开发中去。从而大大的提高了开发的效率。一、几个概念：1、 用户（成员user）：通过网站注册的具有用户名和密码等信息的个人或组织。2、 角色（role）：我们可以规定某些用户可以访问特定的页面，另一些用户可以访问另外一些页面。但是随着用户数量的增多，为每个用户都做一次规定，必然增加难度。可以把某些用户规定为一个组，比如我们可以把所有的学生都归为学生组，所有的教师都归为教师组。这些组我们就成为角色。3、 验证（authentication）：访问网站的用户可以通过专门的验证看是否为网站数据库中已经注册的成员，如果是，则通过验证，否则为匿名用户。4、 授权（authorization）：我们可以为每个用户或者角色规定可以访问的资源，这个过程我们成为授权。比如我们可以规定学生可以访问某些页面，而教师则只能访问另外的页面。二、中用户与角色管理的配置1.添加数据库支持要使用membership首先需要数据库的支持，所以我们第一步就是创建用来存放用户、角色等信息的表结构。别担心，MS早就把创建表的语句写好了，并且还提供了用户界面，让我们点点鼠标就可以创建好所需的结构了。具体操作如下：进入C:WINDOWSMicrosoft.NETFrameworkv2.0.xxxxx(vs2010的目录是v4.0.xxxx)这个目录下，找到aspnet_regsql.exe直接双击运行，就会弹出一个界面，直接下一步。第二个界面让我们选择是添加表结构还是移除，我们当然选择添加，继续下一步。在这个界面中需要填写服务器ip地址以及身份验证信息。在填写完毕后，就可以选择你要将表结构添加到哪个数据库中了。需要注意的是：如果选择默认，则会创建一个新的名叫aspnetdb的数据库，然后将表结构加入其中。一路下一步就完成了数据库结构的添加。2.web.config配置好了，表结构添加完毕，接下来就是需要在项目中进行一些简单的配置了。我们在vs中新建一个网站，随后再用记事本打开C:WINDOWSMicrosoft.NETFrameworkv2.0.xxxxxCONFIGmachine.config这个文件,找到system.web节点下的membership节点，将整个节点复制到我们新建网站的web.config中的system.web节点中。复制过来的代码如下:下面是主要的几个属性的含义:name：数据提供程序的名称，由于我们是从machine.config复制过来的，所以必须改名，防止重名type：数据提供程序类型,如果使用的是MSSQL数据库,则保持不变即可，如果使用的是Oracle等其他数据库，则必须自己创建一个类来继承MembershipProvider抽象基类，重写里边的所有抽象方法，然后把类型写在这里即可。connectionStringName：该属性必须指定在节点中,一个连接字符串的名字。applicationName：应用程序名称，membership允许多个应用程序共同使用一个数据库来管理自己的用户、角色信息，各应用程序只需配置不同的applicationName即可，当然，如果想要多个应用程序使用同一份用户角色信息，只需设置一样的applicationName即可。requiresUniqueEmail：顾名思义，用户注册时，是否需要提供未注册过的邮箱。passwordFormat：密码存储格式，密码保存在数据库中的格式，最常用的有Clear（不加密）和Hashed（使用SHA1算法加密）minRequiredPasswordLength：最小密码长度。minRequiredNonalphanumericCharacters：指定有效密码中必须包含的特殊字符的最小数量，就是说不是字母也不是数字的字符的数量，比如+-*/,.什么的，增加密码强度好了,我们将配置修改一下并添加连接字符串：上面用黄色高亮字体标注出来的属性，是为了告诉membership采用我们刚才添加的mySqlMembershipProvider这个配置，因为machine.config中有一个AspNetSqlMembershipProvider，我们又在web.config中又添加了一个mySqlMembershipProvider，现在有了两个配置，所以应该使用defaultProvider属性指明本网站使用哪个配置。随后又指定了连接字符串配置的名称，一个Email不允许重复注册，最小密码长度为6，不限制密码中必须含有标点符号等配置。3.ASP.NET身份验证配置membership算是配置到这里了，但是还没有结束，我们还需要把ASP.NET的身份验证机制配置为Forms身份验证。补充内容：ASP.NET一共有三种身份验证方式，分别为： Forms验证 Windows验证 Passport验证Windows验证是一种把能够访问到IIS的用户认为是已经通过身份验证的用户。可以通过windows自带的身份验证策略来控制哪些页面用户可以访问，哪些不能访问。这是一种最简单的方式，基本不用写多少代码，全部通过配置就可以实现访问的控制。Passport验证是由微软提供身份验证服务。当然这是收费的。Forms验证就是在用户登录时，向浏览器中添加一个cookie，然后在用户每次访问时都检测这个cookie，从而达到身份验证的目的。配置Forms身份验证其实就是把下面代码复制到web.config中去就可以了： 下面是说明(msdn抄的)： loginUrl 指向应用程序的自定义登录页。应该将登录页放在需要安全套接字层 (SSL) 的文件夹中。这有助于确保凭据从浏览器传到 Web 服务器时的完整性。 protection 设置为 All，以指定窗体身份验证票的保密性和完整性。这导致使用 machineKey 元素上指定的算法对身份验证票证进行加密，并且使用同样是 machineKey 元素上指定的哈希算法进行签名。 timeout 用于指定窗体身份验证会话的有限生存期。默认值为 30 分钟。如果颁发持久的窗体身份验证 Cookie，timeout 属性还用于设置持久 Cookie 的生存期。 name 和 path 设置为应用程序的配置文件中定义的值。 requireSSL 设置为 false。该配置意味着身份验证 Cookie 可通过未经 SSL 加密的信道进行传输。如果担心会话窃取，应考虑将 requireSSL 设置为 true。 slidingExpiration 设置为 true 以执行变化的会话生存期。这意味着只要用户在站点上处于活动状态，会话超时就会定期重置。 defaultUrl 设置为应用程序的 Default.aspx 页。 cookieless 设置为 UseDeviceProfile，以指定应用程序对所有支持 Cookie 的浏览器都使用 Cookie。如果不支持 Cookie 的浏览器访问该站点，窗体身份验证在 URL 上打包身份验证票。 enableCrossAppRedirects 设置为 false，以指明窗体身份验证不支持自动处理在应用程序之间传递的查询字符串上的票证以及作为某个窗体 POST 的一部分传递的票证。 需要说明一下的是LoginUrl和DefaultUrl属性：LoginUrl指向登录页面，当ASP.NET判断出该用户请求的资源不允许匿名访问，而该用户未登录时，ASP.NET会自动跳转到LoginUrl所指向的页面，当登录成功后，则跳转回原来请求的页面。DefaultUrl指向默认页面。当我们直接访问登录页面，并登录成功后，这时ASP.NET会跳转到DefaultUrl指向的页面。其他的选项不写都可以，因为有默认值。三、登陆控件1、CreateUserWizard自动创建用户2、Login登陆控件3、LoginStatus登录状态4、LoginName用户名显示5、LoginView分别显示匿名和已登录用户的不同信息第十一讲 用户与角色管理（二）上篇讲到如何配置membership以及ASP.NET Forms身份验证，本篇将对权限控制部分，做一个详细的解释。在所有的基本配置都完毕后，我们还需要配置哪些目录允许被匿名访问，哪些是需要用户登录后允许访问的页面。首先：我们在项目中建立一个admin文件夹，在admin文件夹中添加一个web.config文件，然后在其中的节点下面添加如下代码：然后我们在admin目录下再添加一个页面，然后访问该页面，看一下效果。如果您按照我们上篇所说的内容全部正确配置了，那么你会发现，页面并没有显示出来，而是跳转到了我们之前在下节点的LoginUrl属性所指向的页面，要求登录！这不就是我们需要的效果吗？现在来解释一下上面配置的含义：节点：顾名思义就是允许访问的意思，就是允许用户名为admin的用户访问。 节点：就是禁止访问。这里用到了一个通配符“*”，通配符有两个：*代表所有用户，还有一个“?”代表所有匿名用户。所以就是不允许所有用户访问的意思啦，当然如果是：那意思就是不允许所有匿名用户访问。 需要说明的是：所有的配置都是按照从上到下的顺序来匹配的，一但匹配成功，就不再向下匹配。举个例子： ASP.NET首先检测当前登录的用户名=admin？如果等于则不继续判断，直接允许该用户访问。如果不等于则继续判断当前登录的用户名=zhangsan等于，则允许访问，不等于则接着向下，读取到了这个配置，拒绝所有用户访问，跳转到LoginUrl指定的页面要求重新登录。可是如果这样，只能实现目录一级的权限控制，如果要控制某个文件的访问权限，又该如何做呢？难道非得把这个文件放到一个文件夹中，然后再添加web.config进行控制么？答案是否定的，对于单个文件的访问控制，ASP.NET也有相应的配置：看上面这个配置，我们可以在节点之上（必须是上面）再增加一个节点，通过path属性指明location内的配置是单独针对哪个文件即可。具体内容我就不多说了，想必大家也都看得懂。不过需要注意的一点就是：location节点可以有多个。这意味着同一个目录下的不同文件可以有不同的访问权限。好了，配置到这里算是完成一多半了。还有一个问题就是：如果我们的用户比较多，那么需要在配置文件中把这些用户全部罗列其中。并且以后添加了新用户，还得继续修改配置，太麻烦了！该怎么办呢？通用的做法就是引入角色的概念。给所有的用户分配一个角色，比如：users，admin等。然后我们只需要控制这些角色的访问权限即可。以后添加了新用户只需给这个新用户分配角色，而不用去修改配置，实在是方便。其实，membership也提供了角色的概念，只需要简单的配置一下就可以实现了。要实现角色功能，非常简单，我们还是去machine.config的节点下面找到节点，然后整个节点复制过来到web.config中去，一般会有两个子结点,我们删除一个，留下一个就可以了。全部内容如下：这个配置比较简单，各项配置和前面配置都一样，不再多说。稍微修改一下：注意：这个roleManager多了个属性enable=true，这是因为角色管理默认情况下是关闭的，所以我们必须得设置为开启才行。定义完了角色以后就可以为角色添加权限了： 实验七 实现单一的用户和角色功能的网站实验目的：理解并熟悉。Net2.0用户和角色管理的整套流程实验步骤：1、 建立网站website1(文件夹)2、 添加数据库支持。在C:WINDOWSMicrosoft.NETFrameworkv2.0.xxxxx(vs2010的目录是v4.0.xxxx)这个目录下，找到aspnet_regsql.exe直接双击运行，添加用户和角色管理所必须的数据库表（数据库可以使用默认的名字放置于app_data文件夹中）。3、 为站点添加并完成web.config的配置，包括四项。a) 创建连接字符串(connectionStrings)b) 成员提供程序的配置(Membership)c) 身份验证配置(authentication)d) 角色配置（roleManager）4、 在网站根目录下建立网页文件default.aspx、register.aspx和login.aspx；建立文件夹两个student和teacher；在student文件夹中建立文件student.aspx，在teacher文件夹中建立teacher.aspx文件。5、 打开default.aspx 在文件中添加指向student.aspx和teacher.aspx的连接；register.aspx中添加CreateUserWizard控件；login.aspx文件中添加login控件。6、 为student和teacher文件夹分别建立一个web.config，并对其进行角色权限的配置。7、 打开网站管理器，配置角色并为每个用户分配权限。8、 运行网站，查验效果。第十二讲 三层