关于Membership/Role您可能不知道的细节

1.关于System.Web.Security.Membership.ValidateUser("username", "password")

每次调用这个时，您注意到背后都执行了哪些sql语句吗？

(a)用户名不存在时，将执行以下语句 exec dbo.aspnet_CheckSchemaVersion @Feature=N'Common',@CompatibleSchemaVersion=N'1'

exec dbo.aspnet_CheckSchemaVersion @Feature=N'Membership',@CompatibleSchemaVersion=N'1'

exec dbo.aspnet_Membership_GetPasswordWithFormat @ApplicationName=N'APP_LUCKTY',@UserName=N'username',@UpdateLastLoginActivityDate=1,@CurrentTimeUtc=''2009-06-02 12:22:34:563''

(b)用户名存在时，除上面的语句外，还将多执行以下二条语句 exec sp_reset_connection

exec dbo.aspnet_Membership_UpdateUserInfo @ApplicationName=N'APP_LUCKTY',@UserName=N'yjmyzz@126.com',@IsPasswordCorrect=0,@UpdateLastLoginActivityDate=1,@MaxInvalidPasswordAttempts=999,@PasswordAttemptWindow=999,@CurrentTimeUtc=''2009-06-02 12:26:04:173'',@LastLoginDate=''2009-06-02 12:15:53:860'',@LastActivityDate=''2009-06-02 12:15:53:860''

关于sp_reset_connection，这个是干啥用的？

http://msdn.microsoft.com/zh-cn/library/ms187961(SQL.90).aspx上的解释

sp_reset_connection 存储过程由 SQL Server 用来支持事务中的远程存储过程调用。从连接池中重用连接时，该存储过程还将导致激发Audit Login 和 Audit Logout 事件。

2.if (User.Identity.IsAuthenticated){...}或if (User.IsInRole("RoleName")){...}时，系统是从哪里知道当前用户是否已经登录(或是否属于某一角色)?

(a.猜测一:)会查询数据库吗？当然不会，不信可以监测一下数据库的sql语句 (b.猜测二:)是在Session里吗？也不是，不信EnableSessionState="False"再试下，好象还是能运行 (c.猜测三:)是在Cookie里吗？对了，不信把Cookie禁用掉(建议用最BT的办法，把Documents and SettingsAdministratorCookies目录设置为任何用户都无权读取)，然后就登录不了系统

3.除了FormsAuthentication.SignOut()，还有其它办法注销“当前”用户吗，或者如何注销“指定”用户？

从2中很容易想到，只要能找到特定用户的客户端Cookie，并使其过期就可以了，看下面的代码： HttpCookie _cookie = FormsAuthentication.GetAuthCookie(userName, true); _cookie.Expires = DateTime.Now.AddDays(-1); HttpContext.Current.Response.Cookies.Add(_cookie);