《第10章 ASP.NET的安全性 什么是安全性安全性的类型 如何实现身份验证和授权讲解材料》由会员分享,可在线阅读,更多相关《第10章 ASP.NET的安全性 什么是安全性安全性的类型 如何实现身份验证和授权讲解材料(24页珍藏版)》请在金锄头文库上搜索。
1、第10章 ASP.NET的安全性,什么是安全性 安全性的类型 如何实现身份验证和授权,什么是安全性,安全性,安全性是对用户的身份进行验证并对通过验证的用户按照为其授予的访问权限来确定用户是否可以访问某种资源的一个过程 对于应用程序来说,它的安全性涉及 身份验证 授权 用户模仿 数据或者功能的安全性,身份验证和授权,Windows提供的身份验证和授权 IIS提供的身份验证和授权 ASP.NET提供的身份验证,IIS提供的身份验证和授权,IIS可以提供的验证有三种 IP地址及域名限制 启用证书验证用户身份 规定验证方法。,IP地址及域名限制,在Windows 2000 Server中,允许限定客户
2、机的IP地址或者域名 对于特定的IP地址或者域名,可以允许访问(Grant Access)或者禁止访问(Denied Access)。 所有的这些设置都是在IIS的MMC中设置完成的。,启用证书验证用户身份,可以使用“默认Web站点属性”中的“目录安全性”选项卡的安全通信功能建立服务器证书。 这个证书可以用于站点或者站点中的某个目录。 这些证书可以与客户机证书一起使用,用于识别访问服务器的机器的身份。,规定验证方法,使用“默认Web站点属性”中对话框的“目录安全”选项卡的匿名访问和验证控制功能可以规定验证方法。 匿名访问 基本验证 Windows域服务器的简要验证 集成Windows验证方法,
3、ASP.NET提供的身份验证,ASP.NET提供了一系列不同的选项用于进行用户身份的验证。验证的类型写在web.config文件中的元素的mode属性中。 ASP.NET提供4种验证方式 Windows内置验证 基于Passport的验证 基于Forms的验证 IIS验证。,Windows内置验证,所谓Windows内置验证就是IIS提供的验证方法。 IIS提供的验证方法有 基本验证 集成的Windows验证 简要验证,基本验证,基本验证是建立在虚拟目录基础上的 在“目录安全性”选项卡中选择基本验证方式,例子,集成的Windows验证,基本验证是建立在虚拟目录基础上的 在“目录安全性”选项卡中
4、选择集成的Windows验证方式,基于Passport的验证,使用多个服务器来保证用户得到快捷方便的服务的情况下使用Windows内置验证方式不方便 因为Windows内置验证方式所采用的各种方法都是使用Windows内部的账号进行验证和授权的,这样,不同的服务器就必须有相同的账号才能够保证一个用户在不同的服务器上登录都能够成功,导致采用多服务器系统的网站遇到困难。 为了解决这个问题,可以采用基于Passport的验证方式。,例子,基于表单的验证,基于表单的验证是建立在Cookie基础上的。 当用户通过了基于表单的验证之后,在客户端会保存一个Cookie。在用户发送HTTP请求的同时,这个Co
5、okie会随之发送给服务器保证身份验证有效。 如果这个Cookie是临时的,在会话结束之后就销毁这个Cookie,那么下次登录网站的时候还需要进行用户身份的验证; 如果这个Cookie是长期的,那么在这个Cookie过期之前,用户登录这个网站都不需要进行额外的身份验证。,基于表单验证的web.config文件,未授权的用户使用的登录程序,通过验证之后会执行的default.aspx程序,求散列加密字符串的结果,保存了加密的用户密码的web.config文件,SSL加密方法简介,SSL,SSL是安全套接字。 它使用复杂的加密方法(例如SHA1或者MD5)对发送的信息进行加密,对收到的信息进行解密。 对于前面提到的身份验证的基本验证方法,用户名和密码都是采用明文的方式进行传送的,这样也会导致信息的泄漏。 如果把基本验证方法和SSL结合起来,可以实现一种相对安全的验证解决方案,
