创建用户的流程
a. 调用aspnet_Applications_CreateApplication,存储过程,转换一个ApplicationName成Application ID.如果在aspnet_Applications表中已经存在这个Application ID就返回存在Application ID,如果表中不存在,在aspnet_Applications表中新增加一条记录并返回这个Application ID.
b. 调用aspnet_Users_CreateUser在aspnet_Users表中添加一条新记录
c. 做一个验证对email地址和原来已经注册的用户。
d. 使用当前的时间来更新一下aspnet_Users表的LastActityDate字段。
e. 插入一条新记录到aspnet_Membership表。
aspnet_Membership_CreateUser提供了所有的这些步骤,并使用事务来保证数据库更新的完整性。
5.删除用户
程序通过调用Membership.DeleteUser来实现删除membership用户的功能。
Membership.DeleteUser调用默认的membership提供者的DeleteUser的函数,而这个函数有两个输入值,一个是用户名 另外一个参数(deleteAllRelatedData)是bool值,这个bool值表示是否要删除这个用户的一些关联信息,包括role data, profile data和 Web Parts personalization data。
DeleteUser还可以实现一个其他的功能就是 把用户名输入Request.AnonymousID,而参数deleteAllRelatedData设置为true,这样可以删除匿名用户在数据库的aspnet_Profile和aspnet_Users表中保存的记录。
6.验证membership用户
程序通用调用Membership.ValidateUser来实现用户的验证,返回值是一个bool值,包括用户名密码是否正确。
验证的流程
a. 通过调用存储过程 aspnet_Membership_GetPasswordWithFormat得到用户的密码,如果是加密的返回的是加密的字串。
b. 使用相同的加密码方法加密输入的密码。
c. 比较两个密码。
d. 如果密码匹配 会触发一个AuditMembershipAuthenticationSuccess的Web 事件,同时记录一个成功登陆的纪录,并返回true
e. 如果密码不匹配,会触发一个 AuditMembershipAuthenticationFailure的web 事件,返回false,同时还会调用aspnet_Membership_UpdateUserInfo储存过程做记录,如果记录发现已经达到限制用户登录的条件,还会锁住此用户。
7.密码保护
为了安全,密码保存在数据库中一般不用明文,SqlMembershipProvider提供了几种不同保存密码的方法,我们可以通过设置PasswordFormat属性来指定不同的保存方法。
a. MembershipPasswordFormat.Clear使用明文保存
b. MembershipPasswordFormat.Hashed 默认参数,会使用.Net框架的RNGCryptoSe
