中常用的几种身份验证方式

　　在B/S系统开发中，经常需要使用“身份验证”。因为web应用程序非常特殊，和传统的C/S程序不同，默认情况下(不采用任何身份验证方式和权限控制手段)，当你的程序在互联网/局域网上公开后，任何人都能够访问你的w eb应用程序的资源，这样很难保障应用程序安全性。通俗点来说：对于大多数的内部系统、业务支撑平台等而言，用户必须登录，否则无法访问和操作任何页面。而对于互联网(网站)而言，又有些差异，因为通常网� �的大部分页面和信息都是对外公开的，只有涉及到注册用户个人信息的操作，或者网站的后台管理等才需要提示登录。(如果不做严格验证，后果将很严重，人家一旦猜出你web目录下面的页面名，可以随意访问。当然，一般的开发人员是不会犯这种低智商的错误的)。

　　如何实现“身份验证”

　　记得N年前我最早接触Servlet + JSP开发的时候，有一种叫做“过滤器”(Filter)的东西，真是很神奇。有了这件神奇的东西后，我再也不需要去每个页面判断什么“session”或者“cookie”了，就能把未登录用户给弹出去(水平实现有限)。当然，在传统webform开发中，也可以写一个“BasePage的鸡肋”，在该类中去做判断，让每个页面对应的类都去实现这个"鸡肋"，我看以前很多公司都是这么干的。

　　中，其实微软提供了一整套的完整的机制来实现“成员角色管理”。包含有：”登录控件”、“membership”、“个性化数据库”等等。但是大多数开发人员是从来不用这些的(例如我，三四年，还从来没见过“登录控件”长啥样)。身份验证中，主要有三四种。因为有些身份验证的方式是依赖于IIS和windows操作系统的，所以在不同版本的操作系统和IIS上还是有些差异的。由于笔者暂时使用的是windows 7的操作系统，所以就拿IIS 7.5为例子。达内