收藏
下载资源

ASP.NETWeb应用的安全性.ppt

上传人:自*** 文档编号:124074069 上传时间:2020-03-11 格式:PPT 页数:36 大小:461.02KB
返回 下载 相关 举报
ASP.NETWeb应用的安全性.ppt_第1页
第1页 / 共36页
ASP.NETWeb应用的安全性.ppt_第2页
第2页 / 共36页
ASP.NETWeb应用的安全性.ppt_第3页
第3页 / 共36页
ASP.NETWeb应用的安全性.ppt_第4页
第4页 / 共36页
ASP.NETWeb应用的安全性.ppt_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《ASP.NETWeb应用的安全性.ppt》由会员分享,可在线阅读,更多相关《ASP.NETWeb应用的安全性.ppt(36页珍藏版)》请在金锄头文库上搜索。

1、DEV 337 ASP NET Web 应用的安全性 日程 概述 l验证 Authentication l授权 Authorization l基于角色的安全性 l管理和规划安全的策略 安全服务 lASP NET 支持验证和授权 可扩展和定制 透明的认证方案 简单的部署模型 l支持可声明的和强制性的授权 l支持应用级的安全性 进程标识 lWindows 2000 默认是 ASPNET 本地账号 可以按照 System 或者由 设置的账号 lWindows NET Server 使用 IIS 6 进程模型 默认是 NetworkService 可配置应用池 标识好也可配置 请求标识 l模拟 Imp

2、ersonation 按照请求标识的安全设置运行 可在 ASP NET 中配置 可以设置为与 ASP 兼容 检查线程标识 Import Namespace Dim Dim currcurr As As WindowsIdentityWindowsIdentity currcurr WindowsIdentity GetCurrentWindowsIdentity GetCurrent thread acct name is in thread acct name is in curr Namecurr Name token in token in curr Tokencurr Token as

3、 type as type IntPtrIntPtr 配置标识配置标识 demodemo Configuration Lockdown l通过配置文件进行管理控制 l用来设置安全策略或者限制应用程序行为 location path site1 application1 false Configuration Configuration LockdownLockdown demodemo ASP NET 请求的处理过程 Native CodeNative Code NET Code NET Code ApplicationApplication Host IIS Host IIS ASP NET

4、ASP NET PagePage ASP NET RuntimeASP NET Runtime ASP NETASP NET ServiceService HTTPHTTP HandlerHandler HTTP ModuleHTTP Module Global asaxGlobal asax HTTP ModuleHTTP Module HttpContextHttpContext 每个请求事件每个请求事件 BeginRequestBeginRequest AuthenticateRequestAuthenticateRequest AuthorizeRequestAuthorizeRequ

5、est ResolveRequestCacheResolveRequestCache AcquireRequestStateAcquireRequestState PreRequestHandlerExecutePreRequestHandlerExecute PostRequestHandlerExecutePostRequestHandlerExecute ReleaseRequestStateReleaseRequestState UpdateRequestCacheUpdateRequestCache EndRequestEndRequest 日程 l概述 验证 Authenticat

6、ion l授权 Authorization l基于角色的安全性 l管理和规划安全的策略 验证 lASP NET 实际上是 ISAPI 扩展 仅仅处理可以识别的内容 lWindows 验证 通过 IIS 基本 摘要 NTLM Kerberos 认证支持 充分利用了平台的验证方式 l基于表单 Cookie 的验证 应用程序的安全性验证 l支持 Microsoft Passport 验证方式 l定制的验证方式 Microsoft Passport l在成员站点中间 只需要一次登陆 l集成到了 ASP NET 验证方式 需要安装 Passport SDK ASP NET 处理 IPassportMan

7、ager IPassportManager2 IPassportCrypt 接口 l详细信息 lIIS 6 直接支持 Passport 基于表单的验证 l容易实现 ASP NET 提供了重定向 l步骤 配置 IIS 允许匿名用户 默认方式 使用 SSL 配置 ASP NET cookie 验证 编写你自己的登陆页面 表单验证的工作方式 Web BrowserWeb Browser 1 1 1 1 GET GET default aspxdefault aspx HTTP 1 1 HTTP 1 1 2 2 2 302 Redirect2 302 Redirect Location Locatio

8、n login aspxlogin aspx 3 3 3 POST 3 POST login aspxlogin aspx HTTP 1 1 HTTP 1 1 5 5 5 200 OK5 200 OK Set Cookie ASPXAUTH Auth TicketSet Cookie ASPXAUTH Auth Ticket 6 6 6 GET 6 GET default aspxdefault aspx HTTP 1 1 HTTP 1 1 Cookie ASPXAUTH Auth TicketCookie ASPXAUTH Auth Ticket 4 4 4 App 4 App authen

9、ticationauthentication IIS IIS ASP NETASP NET SQL ADSQL AD 配置表单验证 forms 配置表单验证 l 部分 l配置不同的键值来区分不同的应用 l必须在Web farms之间同步 validation SHA1 基于表单验证基于表单验证 demodemo 定制的Web验证 l处理 AuthenticateRequest 事件 应用程序级别 global asax 或者 Http Module implement IHttpModule l适用于 定制 SOAP 验证 例如 应用程序根据 SOAP 信头定义Schema 对不支持cooki

10、es的移动设备设置表单验证方 式 定制其他的验证方式 日程 l概述 l验证 Authentication 授权 Authorization l基于角色的安全性 l管理和规划安全的策略 授权的策略 lWindows 安全和 ACLs Windows 验证需要检查 ACLs 独立的模拟 Impersonate 模式 lCOM 角色 lURL 授权 l定制授权 lWindows NET AuthZ 框架 l明确的 强制的 可声明 的检查 使用 URL 授权 l示例 允许 Admins 或者 WebServiceUsers 然后拒绝所有其他用户 l示例 拒绝匿名用户 allow verbs POST

11、Roles allow Roles 使用授权使用授权 demodemo 定制Web授权 l处理 AuthorizeRequest 事件 应用程序级 global asax 或者 Http Module 实现 IHttpModule l适用于 实现按照请求计算的记账系统 根据商业规则 限制访问 根据动态行为 例如 按天计算的访问限制等 限制访问 定制授权定制授权 demodemo 日程 l概述 l验证 Authentication l授权 Authorization 基于角色的安全性 l管理和规划安全的策略 使用定制的角色 l应用程序定义角色 l策略 定义 Windows AD 组并且使用 Wi

12、ndowsPrincipal 使用 GenericPrincipal 或者 IPrincipal System Security Principal IPrincipalSystem Security Principal IPrincipal public interface public interface IPrincipalIPrincipal IIdentityIIdentity get get boolbool IsInRole stringIsInRole string role role Web 应用 定制角色 l处理验证事件 l将 HttpContext User 代替为定制的

13、 IPrincipal 或者 GenericPrincipal public voidpublic void WindowsAuthentication OnAuthenticateWindowsAuthentication OnAuthenticate Object Object srcsrc WindowsAuthenticationEventWindowsAuthenticationEvent e e replace replace HttpContextHttpContext Principal Principal e Context Usere Context User new ne

14、w MyPrincipal e IdentityMyPrincipal e Identity 基于角色的安全性基于角色的安全性 demodemo 日程 l概述 l验证 Authentication l授权 Authorization l基于角色的安全性 管理和规划安全的策略 管理和规划安全的策略 l可能的话 尽量不用需要加密的东西 例如使用集成的验证方式 lLayer protection strategies Combine minimal ACLs with DPAPI CryptProtectData CryptUnprotectData l从ServicedComponent 继承的类

15、 使用 COM 企业服务来运行有固定标识的代 码 l实现 IConfigurationSectionHandler 以在配置 文件中存储需要加密的信息 在在WebWeb应用中保存秘密应用中保存秘密 信息信息 demodemo 如果您有任何问题 请加入 微软中文新闻组 继续讨论 加入微软中文新闻组 2002 Microsoft Corporation All rights reserved 2002 Microsoft Corporation All rights reserved This presentation is for informational purposes only Microsoft makes no warranties express or implied in this summary This presentation is for informational purposes only Microsoft makes no warranties express or implied in this summary

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号