[转帖]解剖PetShop》系列之六（4）

6.4.2  Membership特性

PetShop 4.0并没有利用Membership的高级功能，而是直接让Membership特性和ASP.NET 2.0新增的登录控件进行绑定。由于.NET Framework 2.0已经定义了针对SQL Server的SqlMembershipProvider，因此对于PetShop 4.0而言，实现Membership比之实现Profile要简单，仅仅需要为Oracle数据库定义MembershipProvider即可。在PetShop.Membership模块中，定义了OracleMembershipProvider类，它继承自System.Web.Security.MembershipProvider抽象类。

OracleMembershipProvider类的实现具有极高的参考价值，如果我们需要定义自己的MembershipProvider类，可以参考该类的实现。
事实上OracleMemberShip类的实现并不复杂，在该类中，主要是针对用户及用户安全而实现相关的行为。由于在父类MembershipProvider中，已经定义了相关操作的虚方法，因此我们需要作的是重写这些虚方法。由于与Membership有关的信息都是存储在数据库中，因而OracleMembershipProvider与SqlMembershipProvider类的主要区别还是在于对数据库的访问。对于SQL Server而言，我们利用aspnet_regsql工具为Membership建立了相关的数据表以及存储过程。也许是因为知识产权的原因，Microsoft并没有为Oracle数据库提供类似的工具，因而需要我们自己去创建membership的数据表。此外，由于没有创建Oracle数据库的存储过程，因而OracleMembershipProvider类中的实现是直接调用SQL语句。以CreateUser()方法为例，剔除那些繁杂的参数判断与安全性判断，SqlMembershipProvider类的实现如下：
public override MembershipUser CreateUser(string username, string password, string email, string passwordQuestion, string passwordAnswer, bool isApproved, object providerUserKey, out MembershipCreateStatus status)
{
      MembershipUser user1;
      //前面的代码略;
      try
      {
            SqlConnectionHolder holder1 = null;
            try
            {
                  holder1 = SqlConnectionHelper.GetConnection(this._sqlConnectionString, true);
                  this.CheckSchemaVersion(holder1.Connection);
                  DateTime time1 = this.RoundToSeconds(DateTime.UtcNow);
                  SqlCommand command1 = new SqlCommand(”dbo.aspnet_Membership_CreateUser”, holder1.Connection);
                  command1.CommandTimeout = this.CommandTimeout;
                  command1.CommandType = CommandType.StoredProcedure;
                  command1.Parameters.Add(this.CreateInputParam(”@ApplicationName”, SqlDbType.NVarChar, this.ApplicationName));
                  command1.Parameters.Add(this.CreateInputParam(”@UserName”, SqlDbType.NVarChar, username));
                  command1.Parameters.Add(this.CreateInputParam(”@Password”, SqlDbType.NVarChar, text2));
                  command1.Parameters.Add(this.CreateInputParam(”@PasswordSalt”, SqlDbType.NVarChar, text1));
                  command1.Parameters.Add(this.CreateInputParam(”@Email”, SqlDbType.NVarChar, email));
                  command1.Parameters.Add(this.CreateInputParam(”@PasswordQuestion”, SqlDbType.NVarChar, passwordQuestion));
                  command1.Parameters.Add(this.CreateInputParam(”@PasswordAnswer”, SqlDbType.NVarChar, text3));
                  command1.Parameters.Add(this.CreateInputParam(”@IsApproved”, SqlDbType.Bit, isApproved));
                  command1.Parameters.Add(this.CreateInputParam(”@UniqueEmail”, SqlDbType.Int, this.RequiresUniqueEmail ? 1 : 0));
                  command1.Parameters.Add(this.CreateInputParam(”@PasswordFormat”, SqlDbType.Int, (int) this.PasswordFormat));
                  command1.Parameters.Add(this.CreateInputParam(”@CurrentTimeUtc”, SqlDbType.DateTime, time1));
                  SqlParameter parameter1 = this.CreateInputParam(”@UserId”, SqlDbType.UniqueIdentifier, providerUserKey);
                  parameter1.Direction = ParameterDirection.InputOutput;
                  command1.Parameters.Add(parameter1);
                  parameter1 = new SqlParameter(”@ReturnValue”, SqlDbType.Int);
                  parameter1.Direction = ParameterDirection.ReturnValue;
                  command1.Parameters.Add(parameter1);
                  command1.ExecuteNonQuery();
                  int num3 = (parameter1.Value != null) ? ((int) parameter1.Value) : -1;
                  if ((num3 < 0) || (num3 > 11))
                  {
                        num3 = 11;
                  }
                  status = (MembershipCreateStatus) num3;
                  if (num3 != 0)
                  {
                        return null;
                  }
                  providerUserKey = new Guid(command1.Parameters[”@UserId”].Value.ToString());
                  time1 = time1.ToLocalTime();
                  user1 = new MembershipUser(this.Name, username, providerUserKey, email, passwordQuestion, null, isApproved, false, time1, time1, time1, time1, new DateTime(0×6da, 1, 1));
            }
            finally
            {
                  if (holder1 != null)
                  {
                        holder1.Close();
                        holder1 = null;
                  }
            }
      }
      catch
      {
            throw;
      }
      return user1;
}

代码中，aspnet_Membership_CreateUser为aspnet_regsql工具为membership创建的存储过程，它的功能就是创建一个用户。

OracleMembershipProvider类中对CreateUser()方法的定义如下：
public override MembershipUser CreateUser(string username, string password, string email, string passwordQuestion, string passwordAnswer, bool isApproved, object userId, out MembershipCreateStatus status) {
    //前面的代码略;
//Create connection
OracleConnection connection = new OracleConnection(OracleHelper.ConnectionStringMembership);
connection.Open();
OracleTransaction transaction = connection.BeginTransaction(IsolationLevel.ReadCommitted);
try {
  DateTime dt = DateTime.Now;
  bool isUserNew = true;

  // Step 1: Check if the user exists in the Users table: create if not   
  int uid = GetUserID(transaction, applicationId, username, true, false, dt, out isUserNew);
  if(uid == 0) { // User not created successfully!
   status = MembershipCreateStatus.ProviderError;
   return null;
  }
  // Step 2: Check if the user exists in the Membership table: Error if yes.
  if(IsUserInMembership(transaction, uid)) {
   status = MembershipCreateStatus.DuplicateUserName;
   return null;
  }
  // Step 3: Check if Email is duplicate
  if(IsEmailInMembership(transaction, email, applicationId)) {
   status = MembershipCreateStatus.DuplicateEmail;
   return null;
  }
  // Step 4: Create user in Membership table     
  int pFormat = (int)passwordFormat;
  if(!InsertUser(transaction, uid, email, pass, pFormat, salt, “”, “”, isApproved, dt)) {
   status = MembershipCreateStatus.ProviderError;
   return null;
  }
  // Step 5: Update activity date if user is not new
  if(!isUserNew) {
   if(!UpdateLastActivityDate(transaction, uid, dt)) {
    status = MembershipCreateStatus.ProviderError;
    return null;
   }
  }
  status = MembershipCreateStatus.Success;
  return new MembershipUser(this.Name, username, uid, email, passwordQuestion, null, isApproved, false, dt, dt, dt, dt, DateTime.MinValue);
}
catch(Exception) {
  if(status == MembershipCreateStatus.Success)
   status = MembershipCreateStatus.ProviderError;
  throw;
}
finally {
  if(status == MembershipCreateStatus.Success)
   transaction.Commit();
  else
   transaction.Rollback();
  connection.Close();
  connection.Dispose();
}
}

代码中，InsertUser()方法就是负责用户的创建，而在之前则需要判断创建的用户是否已经存在。InsertUser()方法的定义如下：
private static bool InsertUser(OracleTransaction transaction, int userId, string email, string password, int passFormat, string passSalt, string passQuestion, string passAnswer, bool isApproved, DateTime dt) {

string insert = “INSERT INTO MEMBERSHIP (USERID, EMAIL, PASSWORD, PASSWORDFORMAT, PASSWORDSALT, PASSWORDQUESTION, PASSWORDANSWER, ISAPPROVED, CREATEDDATE, LASTLOGINDATE, LASTPASSWORDCHANGEDDATE) VALUES (:UserID, :Email,  ass,  asswordFormat,  asswordSalt,  asswordQuestion,  asswordAnswer, :IsApproved, :CDate, LDate, PCDate)”;
OracleParameter[] insertParms = { new OracleParameter(”:UserID”, OracleType.Number, 10), new OracleParameter(”:Email”, OracleType.VarChar, 128), new OracleParameter(”ass”, OracleType.VarChar, 128), new OracleParameter(”asswordFormat”, OracleType.Number, 10), new OracleParameter(”asswordSalt”, OracleType.VarChar, 128), new OracleParameter(”asswordQuestion”, OracleType.VarChar, 256), new OracleParameter(”asswordAnswer”, OracleType.VarChar, 128), new OracleParameter(”:IsApproved”, OracleType.VarChar, 1), new OracleParameter(”:CDate”, OracleType.DateTime), new OracleParameter(”LDate”, OracleType.DateTime), new OracleParameter(”PCDate”, OracleType.DateTime) };
insertParms[0].Value = userId;
insertParms[1].Value = email;
insertParms[2].Value = password;
insertParms[3].Value = passFormat;
insertParms[4].Value = passSalt;
insertParms[5].Value = passQuestion;
insertParms[6].Value = passAnswer;
insertParms[7].Value = OracleHelper.OraBit(isApproved);
insertParms[8].Value = dt;
insertParms[9].Value = dt;
insertParms[10].Value = dt;

if(OracleHelper.ExecuteNonQuery(transaction, CommandType.Text, insert, insertParms) != 1)
  return false;
else
  return true;
}

在为Membership建立了Provider类后，还需要在配置文件中配置相关的配置节，例如SqlMembershipProvider的配置：



  

对于OracleMembershipProvider而言，配置大致相似：




  
  
   type=\"etShop.Membership.OracleMembershipProvider\"
   connectionStringName=\"OraMembershipConnString\"
   enablePasswordRetrieval=\"false\"
   enablePasswordReset=\"false\"
   requiresUniqueEmail=\"false\"
   requiresQuestionAndAnswer=\"false\"
   minRequiredPasswordLength=\"7\"
   minRequiredNonalphanumericCharacters=\"1\"
   applicationName=\".NET Pet Shop 4.0\"
   hashAlgorithmType=\"SHA1\"
   passwordFormat=\"Hashed\"/>

有关配置节属性的意义，可以参考MSDN等相关文档。


6.4.3  ASP.NET登录控件

这里所谓的登录控件并不是指一个控件，而是ASP.NET 2.0新提供的一组用于解决用户登录的控件。登录控件与Membership进行集成，快速简便地实现用户登录的处理。ASP.NET登录控件包括Login控件、LoginView控件、LoginStatus控件、LoginName控件、PasswordRescovery控件、CreateUserWizard控件以及ChangePassword控件。
PetShop 4.0犹如一本展示登录控件用法的完美教程。我们可以从诸如SignIn、NewUser等页面中，看到ASP.NET登录控件的使用方法。例如在SignIn.aspx中，用到了Login控件。在该控件中，可以包含TextBox、Button等类型的控件，用法如下所示：


又例如NewUser.aspx中对CreateUserWizard控件的使用：

AGE=\"lease enter a more secure password.\" CREATEUSERBUTTONTEXT=\"Sign Up\">
RequireEmail=\"False\" SkinID=\"NewUser\">

           
   


使用了登录控件后，我们毋需编写与用户登录相关的代码，登录控件已经为我们完成了相关的功能，这就大大地简化了这个系统的设计与实现。