3.5 页面访问控件

开发人员都是通过配置Web服务器权限或代码来控制页面的访问权限，这样既耗时也耗力，并且不够安全。

Web应用系统地图安全控件siteMap可以实现分级保护页面，只允许某些成员或其他经过身份验证的用户浏览。ASP.NET的角色管理可以基于安全角色限制对Web文件的访问，控件如图3-5所示。

可以看到，若要在导航界面中隐藏“支持”链接，需要在Web.config文件中配置站点地图提供程序，以启用安全性调整。应用程序使用ASP.NET的URL授权和文件授权来隐藏指向“支持”页面的链接。ASP.NET 4.0以上版本中包含的XmlSiteMapProvider控件使用URL授权和文件授权功能，对站点地图中的每个节点自动执行授权检查。

下面的实例演示了如何限制页面test.aspx的访问权限，拒绝不属于“客户”角色的成员访问者查看该网页。

该实例首先完成对Web.config的配置，使用roles属性扩展对站点地图节点的访问，使其监控URL授权和文件授权所准许的访问级别。

配置节代码如下：

然后，将“测试”页面的roles属性设置为Customers。根据URL授权和文件授权允许属于“客户”角色的用户查看实际的“测试”页面文件。 2LGPvSOPgUe6wTZiYFtEVkXZz79ETHq2d0b6tQMH6ajPzzZhNb41PX4EU6DfWmsF