《ASP.NET 4.0网站开发实例教程 教学课件 ppt 作者 978-7-302-30496-8 ch07》由会员分享,可在线阅读,更多相关《ASP.NET 4.0网站开发实例教程 教学课件 ppt 作者 978-7-302-30496-8 ch07(39页珍藏版)》请在金锄头文库上搜索。
1、2019年5月23日,第1页,第7章 Web站点中的安全性,教学目标 本章内容,2019年5月23日,第2页,教学目标,ASP.NET验证方式 ASP.NET应用程序服务 登录控件的使用 使用WSAT管理用户和角色 以编程方式检查角色,2019年5月23日,第3页,本章内容,7.1 安全性概述 7.2 登录控件 7.3 ASP.NET网站配置管理 7.4 本章小结 7.5 思考和练习,2019年5月23日,第4页,本章内容,7.1 安全性概述 7.2 登录控件 7.3 ASP.NET网站配置管理 7.4 本章小结 7.5 思考和练习,2019年5月23日,第5页,7.1 安全性概述,全性是系统
2、设计、实现和管理的一部分,其作用是保证系统可以完全地按照人们想要的方式运行。从另一个角度来说,安全性的作用是防止系统被攻击或恶意破坏。 关于安全性 ASP.NET验证方式 ASP.NET应用程序服务,2019年5月23日,第6页,关于安全性,安全性是一个非常复杂的主题,它通常涉及3个重要的问题: 身份:身份就是表示你是谁,对于一个Web站点,用户的身份通常是一个登录名。 身份验证(Authentication):身份验证就是如何证明你所具有的身份,通常以用户名和密码配对来确认用户的身份。还有许多其他身份验证机制,包括高科技的指纹或虹膜扫描、智能卡和令牌等。本章只讨论用户名和密码身份验证方式。
3、授权(Authorization):授权是值登录成功后,用户被允许执行什么操作。 ASP.NET中的这些安全概念是使用应用程序服务(application service)实现的。,2019年5月23日,第7页,ASP.NET验证方式,ASP.NET提供多种方式来处理验证请求和确认用户身份,包括3种。 Windows身份验证:Windows身份验证是使用传统“基本”、NTLM/Kerberose和Digest验证方式,它是直接使用Windows域用户权限。 窗体基本验证:窗体基本验证方式是使用Web窗体获取用户名和密码后,以FormsAuthentication类或Membership类方法来
4、检查用户身份,可以使用web.config文件、XML文件或数据库来存储会员数据。 护照验证:护照验证是Microsoft提供的单一登录服务,如同护照一样,用户只需登录一次,就可以进入任何参与此服务的群组网站。,2019年5月23日,第8页,标记,ASP.NET建立的Web应用程序如果需要使用验证服务,可以在web.config文件的标记(在子标记中)中指定验证方式,标记使用mode属性指定验证方式。,2019年5月23日,第9页,标记,当用户身份经过验证后,就可以授予用户权限。在标记(在子标记中)中指定用户权限,在该标记中可以有0到多个和子标记:标记表示允许存取的资源;标记表示不允许存取的资
5、源。 users 使用逗号“,”分隔的用户,这些用户允许或不允许存取资源,“?”代表匿名用户,“*”代表所有用户 roles 使用逗号“,”分隔的角色,默认为Windows群组名称,属于该角色的用户允许或不允许存取资源 verbs 使用逗号“,”分隔的HTTP传输方法,可以有:GET、HEAD、POST和DEBUG,2019年5月23日,第10页,窗体基本验证,ASP.NET窗体基本验证也称Cookie基本验证,因为它是使用Cookie来存储验证记录的。 当用户成功登录网站后,以Cookie存储的验证数据就会建立,用户可以拥有权限进入其他需要验证的网页。如果用户尚未登录,就进入一个需要验证的页
6、面,就会自动跳转到登录网页,要求用户首先登录网站。 当标记的mode属性为Forms是,就是使用窗体基本验证,其子标记可以指定验证的Cookie名称和登录网页的URL地址等相关信息,2019年5月23日,第11页,ASP.NET应用程序服务 (1/2),ASP.NET 2.0之前的版本都有某种安全性支持。不过,它们都缺乏ASP.NET 2.0和之后的版本中提供的高级控件和概念。在ASP.NET 1.x应用程序中,需要编写大量代码来实现可靠的安全策略。而且需要在所有Web站点中重复编写几乎一样的代码。 而自从应用程序服务随着ASP.NET 2.0一起问世,这些问题就得到了解决。应用程序服务是可以
7、在Web应用程序中用来支持用户、角色和配置文件等的一组服务。,2019年5月23日,第12页,ASP.NET应用程序服务 (2/2),ASP.NET 4中仍然大量存在这类服务。其中最重要的是如下几个: 成员(Membership):可以管理和使用系统中的用户账户 角色(Role):可以管理用户被指派的角色 配置文件(Profile):允许将用户特定的数据存储到后台数据库,2019年5月23日,第13页,2019年5月23日,第14页,本章内容,7.1 安全性概述 7.2 登录控件 7.3 ASP.NET网站配置管理 7.4 本章小结 7.5 思考和练习,2019年5月23日,第15页,7.2
8、登录控件,Login控件 LoginView控件 LoginStatus控件 LoginName控件 CreateUserWizard控件 PasswordRecovery控件 ChangePassword控件,2019年5月23日,第16页,Login控件,Login控件允许用户登录到站点。而在后台,它通过应用程序服务与配置好的成员提供者进行通信,查看用户名和密码是否代表系统中的有效用户。如果用户通过验证,就生成发送到用户浏览器的cookie。对于后续的请求,浏览器重新提交该cookie给服务器,这样系统就知道它仍在处理有效用户。成员提供者的不同设置都在web.config文件的元素中进行配
9、置。,2019年5月23日,第17页,LoginView控件,LoginView控件用于向不同的用户显示不同的数据。可以区分匿名用户和登录用户,甚至区分不同角色中的用户。LoginView是模板驱动的,因此我们可允定义显示给不同用户的不同模板。 除了定义在控件的各种子元素中的内容,LoginView控件本身并不输出任何标记,这意味着可以很容易地将它嵌入一对HTML标记之间,如和,从而创建自定义标题或者列表项。,2019年5月23日,第18页,LoginStatus控件,LoginStatus控件提供了有关用户当前状态的信息。当用户未进行身份验证时,它提供“登录”链接,当用户登录后,它提供“注销
10、”链接。通过设置LoginText和LogoutText属性,可以控制实际显示的文本。也可以设置LoginImageUrl和LogoutImageUrl属性显示一个图像而非文本。LogoutAction属性可用来决定在用户注销时是否刷新当前页面,或是否在用户注销后将用户带至另一个页面,通过设置LogoutPageUrl可以可以确定这一目标页面。 除了这些属性,该控件可以引发两个事件:LoggingOut和LoggedOut,它们分别在用户刚注销前后触发。,2019年5月23日,第19页,LoginName控件,LoginName是一个极为简单的控件。它的作用就是显示登录用户的名称。为了将用户名
11、嵌入到一些文本中,可以使用FormatString属性。例如将FormatString属性设置为“当前登录用户是:0”,运行时0将被实际登录的用户名所取代。,2019年5月23日,第20页,CreateUserWizard控件,CreateUserWizard控件用于注册新用户,该控件有一个较长的Text属性列表,包括CancelButtonText、CompleteSuccessText、UserNameLabelText和CreateUserButtonText,它们会影响控件中使用的文本。所有属性都有默认设置,开发人员也可以将其修改为满足自己需求的内容。 CreateUserWizard
12、控件能够向用户发送一封确认电子邮件,通知它们新账户已经成功建立。这封电子邮件可以提醒它们的用户名和密码。,2019年5月23日,第21页,PasswordRecovery控件,PasswordRecovery控件允许用户获得他们已有的密码(如果系统支持)或是获得一个新的自动生成的密码。在这两种情况下,密码都将发送到用户注册时输入的电子邮件地址中。 和CreateUserWizard一样,PasswordRecovery也有一个MailDefinition元素,该元素用于指向作为邮件正文发送的文件。可以对用户名和密码使用同样的占位符来自定义消息。如果不对MailDefinition进行配置,则控
13、件会使用一个默认的邮件正文。,2019年5月23日,第22页,ChangePassword控件,ChangePassword控件允许已有用户和登录用户更改他们的密码。类似于CreateUserWizard和PasswordRecovery控件,它有许多属性,可用于修改文本、错误消息和按钮。它也有一个MailDefinition元素,允许发送新密码的确认消息给用户的电子邮件地址。,2019年5月23日,第23页,本章内容,7.1 安全性概述 7.2 登录控件 7.3 ASP.NET网站配置管理 7.4 本章小结 7.5 思考和练习,2019年5月23日,第24页,7.3 ASP.NET网站配置管
14、理,ASP.NET应用程序服务是可以在Web应用程序中用来支持用户、角色和配置文件等的一组服务。通过这些服务可以管理ASP.NET的安全、应用程序和提高程序等。 ASP.NET网站管理工具 使用WSAT管理用户 以便从方式检查角色,2019年5月23日,第25页,ASP.NET网站管理工具,ASP.NET网站管理工具(Web Site Administration Tool,称为WSAT)是一个选项卡式界面的Web工具,该界面将相关的配置设置组合在各个选项卡中。选择“网站”|“ASP.NET配置”命令,即可打开该工具。,2019年5月23日,第26页,安全选项卡,使用“安全”选项卡可以设置和编
15、辑用户、角色和对站点的访问规则,访问规则有助于保证网站内特定资源的安全。,2019年5月23日,第27页,应用程序选项卡,在此页中可使用不希望硬编码到页面中的值来配置应用程序,使应用程序可以发送电子邮件、配置调试、设置默认错误页,以及停止或启动应用程序。具体包括如下设置: 应用程序设置:这些设置是要集中存储并通过代码从网站中的任意位置来访问的名称/值对。 SMTP设置:设置网站如何发送电子邮件。 应用程序状态:可以设置使网站脱机,以执行维护,或使新的Microsoft SQL Server Standard版本数据库联机。 调试和跟踪:可以设置调试和跟踪选项,还可以定义默认的错误页来报告.as
16、px错误。,2019年5月23日,第28页,提供程序选项卡,使用“提供程序”选项卡可以配置网站管理数据(如成员资格)的存储方式。可以对站点的所有管理数据只使用一个提供程序,也可以为每种功能指定不同的提供程序。 数据库提供程序是为特定功能存储应用程序数据时所调用的类。默认情况下,网站管理工具配置并使用网站的App_Data文件夹中的本地SQL Server Express数据库。也可以选择使用其他提供程序来存储成员资格和角色管理。,2019年5月23日,第29页,使用WSAT管理用户,使用WSAT可以完成下列任务: 管理用户 管理角色 管理访问规则例如,决定什么用户可访问什么文件和文件夹 配置应用程序、邮件和调试设置 使站点脱机,这样用户就不能请求任何页面,而是获得一个友好的错误消息 使用WSAT所作的一些更改将保存在应用程序的web.config文件中。而其他一些设置,如创建的用户和角色,存储在已配置的提供者的数据库中。,2019年5月23日,第30页,管理用户和角色,2019年5月23日,第31页,管理用户和角色,在“角色”区域,单击“启用角色”链接,将为网
