y2-net2使用技术开发网上书店

Web站点的配置和部署第十二章回顾与作业点评请写出应用程序访问SQLServer数据库的连接字符串比较GridView、DataList和Repeater控件，说明三者的特点预习检查应用程序有哪两种配置文件？配置文件修改有哪几种工具？身份验证有哪几种方式？本章任务配置并加密数据库连接字符串配置管理员后台的身份验证部署第三波网上书店本章目标能够使用web.config存储数据库连接会使用站点管理工具设置站点配置能使用VisualStudio站点发布工具发布Web

站点配置文件概述的两种配置文件machine.config：提供整个机器的默认配置，对该文件的修改将影响所有本机的站点web.config：一般用于应用程序级别的配置文件，对其修改不影响其他站点，也可以用于站点下的子目录配置文件基于XML，配置节元素区分大小写可读可写（相比二进制的配置方便）修改配置后，自动检测变化，不需要重启服务器或IIS配置文件层次结构machine.configweb.configweb.configweb.configweb.config……服务器站点1站点2目录1目录2数据库连接字符串web.config中，数据库连接字符串<configuration> <connectionStrings> <addname="BookShop"

connectionString="DataSource=localhost;

InitialCatalog=BookShop;

UserID=sa;password=d@e26c#"/> </connectionStrings> ......</configuration>存储于configuration配置节点数据连接的名称数据库用户和密码是明文方式保存，不安全读取数据库连接读取数据库连接字符串的方法注意事项：使用ConfigurationManager需要引入System.Configuration类库数据访问层的类库引用该类需要手动添加System.Configuration类库的引用stringconnectionString=

ConfigurationManager.ConnectionStrings["BookShop"]

.ConnectionString;数据连接的名称演示示例1：读取数据库连接字符串数据库连接字符串加密对数据库连接字符串加密的命令aspnet_regiis.exe-pefsectionphysical_directory-provprovider或aspnet_regiis.exe-pesection-appvirtual_directory-provprovider

要加密的配置节指定站点的物理路径指定虚拟路径指定加密提供程序aspnet_regiis.exe-pef"connectionStrings""你的Web项目路径"-prov"DataProtectionConfigurationProvider"

Windows

数据保护API(DPAPI)提供程序操作演示：对数据库连接字符串加密数据库连接字符串解密对数据库连接字符串解密的命令操作演示：对数据库连接字符串加密aspnet_regiis.exe

-pdf"connectionStrings"

"你的Web项目路径"要解密的配置节aspnet_regiis.exe-pef"connectionStrings""D:\ACCP6.0\\BookShop\Web"数据库连接字符串加密、解密注意事项程序读取加密字符串时，不需要编码解密加密和解密在同一台计算机上使用中文路径问题自定义错误自定义错误配置节<customErrors

mode="RemoteOnly"

defaultRedirect="ErrorPage.htm"> <error

statusCode="404"

redirect="FileNotFound.htm"/></customErrors>特定错误的错误页，statusCode为状态码，404错误代表页面不存在演示示例2：自定义错误On表示启用自定义错误Off表示禁用自定义错误RemoteOnly向远程客户端显示自定义错误并且向本地主机显示错误指定当该状态的错误发生时，重定向到的页面的URL发生错误时，浏览器重定向到的URL调试和运行时的配置允许调试应用程序运行时配置<compilationdebug="true"

/><httpRuntime

enable="true"

executionTimeout="90"

maxRequestLength="4096"/>可通过该配置关闭应用程序页面执行时间单位（秒）控制最大上传的尺寸单位（kb）true就是启用调试；false为禁用调试小结下面是第三波书店在web.config中配置的数据库连接字符串，请写出读取数据库连接字符串代码<configuration> <connectionStrings> <addname=“BookShop"

connectionString="DataSource=localhost;

InitialCatalog=BookShop;

UserID=sa;password=123456#"/> </connectionStrings> ......</configuration>stringconnectionString=

ConfigurationManager.ConnectionStrings[“BookShop"]

.ConnectionString;指导—配置读取数据库连接字符串2-1训练要点：在配置文件中增加连接字符串配置节在SqlHelper中获取连接字符串需求说明：在web.config中添加数据库连接字符串，用来代替SqlHelper.cs中的数据库连接字符串在SqlHelper中获取配置文件中的连接字符串运行网站查看是否能够读取数据库数据讲解需求说明指导—配置读取数据库连接字符串2-2实现思路：为connectionStrings添加子项在数据访问层引入System.configuration使用ConfigurationManager获取连接字符串完成时间：15分钟指导——对连接字符串加密和解密训练要点：使用命令对连接字符串进行加密和解密操作需求说明：使用命令将web.config中的数据库连接字符串加密观察加密后的数据库连接字符串的效果运行网站，查看是否能够读取数据在同一台计算机上解密刚才的文件观察解密后的web.config文件是否正确实现思路：使用aspnet_regiis.exe指令进行加密和解密讲解需求说明完成时间：15分钟共性问题集中讲解常见调试问题及解决办法代码规范问题共性问题集中讲解指导——配置网站的错误页2-1训练要点：使用配置文件设置网站的错误页面需求说明：为网站添加未处理错误的友好显示页面当出错时，客户端机器需要看到预设的友好显示页面，服务器要看到具体错误信息默认错误显示页面为GenericErrorPage.htm设置403错误显示页面为NoAccess.htm设置404错误显示页面为FileNotFound.htm讲解需求说明指导——配置网站的错误页2-2实现思路：设置customErrors配置节通过自定义异常测试配置文件是否正常工作错误页为htm，可以自行设计完成时间：15分钟共性问题集中讲解常见调试问题及解决办法代码规范问题共性问题集中讲解身份验证和授权安全控制身份验证，验证用户是否拥有相应的身份权限控制，控制各种身份的用户所拥有的权限身份验证方式WindowsPassportFormsNone<system.web> <authenticationmode="Forms"> <formsname="AdminUser" loginUrl="~/Admin/AdminLogin.aspx"

timeout="60"> </forms> </authentication></system.web>mode指定验证方式，分别有Windows、Passport和Forms表单验证的登录页面，未通过验证的用户都转到该页面身份验证和授权授权allow，允许deny，拒绝特殊符号：“*”代表所有用户，“?”代表匿名用户<system.web><authorization> <denyusers="?"/> <allowroles="admin"> <denyusers="*"/></authorization></system.web>拒绝所有匿名用户允许admin角色拒绝所有用户授权中配置的顺序非常重要，系统总是按照从前向后逐条匹配的方式，执行最先的匹配者

演示示例3：管理员后台的身份验证和授权当定义的规则发生冲突，如何处理？

登录和退出登录成功后，创建身份票证退出

System.Web.Security.FormsAuthentication.SetAuthCookie(user.Name,true);System.Web.Security.FormsAuthentication.SignOut(

);设置票证表单验证服务类删除票证演示示例4：管理员的登录验证小结2-1身份验证方式有哪几种方式？哪种模式下，在本机调试时有错误提示，而在远程客户端显示自定义的错误？小结2-2某站点下有角色：Admin、User、VIP等，现该网站开发一个新功能（该功能所有页面单独出现在Fun目录下），只允许VIP用户访问。由于管理需要，现在要为Admin组中的Administrator用户开通访问权限，请编写配置文件权限配置指导——配置网站的页面保护2-1训练要点：配置文件中身份验证功能配置节的编写配置文件中授权功能的编写，以及配置文件的放置位置需求说明：为防止匿名用户登录后台，需要为后台设置页面保护功能当匿名用户通过地址栏输入后台页面地址时，程序将强制跳转到登录页面匿名用户就是没有经过登录页面验证的非法用户后台用户要求每次登录之后才能访问后台页面讲解需求说明指导——配置网站的页面保护2-2实现思路：配置网站根目录下的配置文件，编写其中的身份验证功能配置后台文件夹中的配置文件，编写其中的授权功能完成时间：15分钟共性问题集中讲解常见调试问题及解决办法代码规范问题共性问题集中讲解管理XML格式的配置文件可读性好，但编辑比较麻烦易错不易记忆配置管理工具Web站点管理工具MMC插件站点管理工具演示使用站点管理工具使用IDE打开站点管理工具安全项中，创建角色、用户、规则应用程序项中，配置自定义错误、调试、自定义配置提供程序项中，选择数据连接方式操作演示：使用站点管理工具安全选项角色管理设置验证类型授权管理向导应用程序自定义配置节邮件设置打开关闭应用程序错误页和调试提供程序为每项功能选择一个提供程序注意：1.该配置默认在站点目录下的App_Data目录中创建了一个SQLServer数据库（ASPNETDB.MDF）2.在Windows2003操作系统下，首次使用时需要分配相应的访问权限

指导——用工具设置默认错误页训练要点：网站管理工具的使用需求说明：通过管理工具设置网站出错时显示的默认错误页实现思路：在“应用程序”选项卡中设置讲解需求说明完成时间：15分钟共性问题集中讲解常见调试问题及解决办法代码规范问题共性问题集中讲解MMC插件演示使用MMC插件添加数据库连接、添加应用程序设置的键/值设置自定义错误配置身份验证和授权规则配置应用程序状态操作演示：使用MMC插件常规连接字符串管理自定义配置自定义错误继承自上级（machine.config或上级目录的web.config）的自定义错误本地（当前站点或目录）的自定义错误身份验证设置身份验证方式设置表单验证相关信息超时设置配置成员资格管理提供程序配置角色管理提供程序Web站点管理工具与MMC插件Web站点管理工具界面友好可直接操作数据库用户、角色管理功能强MMC插件界面一般不操作数据库，用户名、连接等需手工录入，不进入数据库可修改数据连接各有所长，可结合两种方式进行设置指导——通过MMC插件配置网站训练要点：配置连接字符串配置网站的自定义错误配置身份验证和授权需求说明：增加一个连接字符串，让网站使用通过MMC配置的连接字符串设置网站的默认错误页、403错误页和404错误页设置后台的身份验证和授权功能观察通过MMC设置的效果讲解需求说明完成时间：15分钟共性问题集中讲解常见调试问题及解决办法代码规范问题共性问题集中讲解部署为什么要部署？隐藏源代码优化程序运行效果部署前的准备关闭调试，调试符号会降低性能改为Release（发行版）方式部署的方法XCopy，最简单方便的方式复制网站（CopyWebSite），类似ftp上传发布网站（预编