《ASP.NET动态网站开发教程(PPT课件) 教学课件 ppt 作者 7-302-12754-9k chap12》由会员分享,可在线阅读,更多相关《ASP.NET动态网站开发教程(PPT课件) 教学课件 ppt 作者 7-302-12754-9k chap12(11页珍藏版)》请在金锄头文库上搜索。
1、2019年5月23日,1,第12章 提高ASP.NET应用程序的安全性,2019年5月23日,2,12.1 身份验证,基于窗体的身份验证 基于Windows的身份验证 Web服务验证,2019年5月23日,3,12.1.1 基于窗体的身份验证,使用基于窗体的身份验证就是对输入的信息进行验证操作,在进行身份验证前需要对Web.config文件进行配置。,2019年5月23日,4,12.1.2 基于Windows的身份验证,使用Windows身份验证就是把身份验证的任务交给IIS来处理,这样也保证Web站点集成了IIS安全性功能。IIS负责向ASP.NET传递Windows用户帐户以及该用户发送的
2、请求。如果设置IIS要求用户进行登录的话,则这个帐户表示的就是发出请求的用户。 基本身份验证:把用户名和密码作为明文传递,服务器端IIS接收到该请求后,就会在Windows记录中查找和该请求匹配的帐户。如果可以找到匹配的帐户的话,则该帐户将被允许访问特定的资源。 简要身份验证:用户名和密码进行加密后传送; 集成Windows身份验证:已登录的Windows用户不被再输入用户名和密码。,2019年5月23日,5,12.1.3 Web服务验证,Web服务的安全性问题已经成为系统大范围推广的最大问题,因为如果某个应用系统完全依赖于Web服务的话,其业务逻辑就被完全发布给Internet,此时系统就极
3、其不完全,系统可能就被攻击。,2019年5月23日,6,12.2 编写安全代码,在应用工程中,各种密码信息比较多,这些密码信息都需要进行保护,在做一些程序时如果只是把密码信息直接放在数据库或者文件中,这样做存在不少安全隐患,所以密码加密后存储是最常见的做法。在ASP.NET中应用FormsAuthentication类中的HashPasswordForStoringInConfigFile方法可以很简单的实现密码加密。,2019年5月23日,7,11.2.1 优化数据库设计,逻辑设计:数据库的逻辑设计主要指表、关系以及约束等数据库对象的定义和设计。一般来说,良好的数据库逻辑设计至少应该满足数据
4、库设计理论的前三个范式,即第一范式(没有重复的组或多值的列),第二范式(每个非键字段须依赖于主键,不能依赖于组合主键的某个组成部分)和第三范式(一个非键字段不能依赖于另一个非键字段)。 物理设计:优化数据库的物理设计是指尽可能快地对数据进行物理访问和维护,这涉及到磁盘系统、对象、索引等。例如使用磁盘阵列可以有效的提高数据访问速度,或者可以把一个被频繁访问的很大的数据表分割成几个较小的表,放在多个单独的智能型磁盘控制器的数据库设备上,这样也可以提高性能。因为有多个磁头在查找,所以数据分离也能提高性能。,2019年5月23日,8,11.2.2 优化查询,使用数据库的存储过程,不仅可以避免多次对命令
5、的编译,而且可以独立于程序,便于修改。使用存储过程还可以减少网络中的数据传输,进一步的提高性能。 使用带有参数的SQL命令 当查询多个数据表时,要遵守一个原则:先过滤后连接。,2019年5月23日,9,11.2.3 优化代码设计,ADO.NET为数据库应用程序的性能提供了很好的支持,例如采用池连接可以显著提高应用程序的性能。应用程序中经常有多个用户执行相同类型的数据库访问,例如显示某个表中的全部数据。如果为每个用户打开单独的连接,那么会造成必要要的资源浪费。此时,可以通过共享到数据源的连接来提高应用程序的性能,也就是使用池连接。当到数据源的连接打开时,.NET Framework数据提供程序会
6、创建和连接匹配的一个连接池。连接池是为每个惟一的连接字符串创建的。如果相同的连接被打开,那么该连接使用同一个连接池。,2019年5月23日,10,11.3 性能测试,性能瓶颈 性能测试工具,2019年5月23日,11,12.3 本章小结,在本章中介绍了提高ASP.NET应用程序安全性的内容,应用系统的安全性在每个系统中都是很重要的内容,在此介绍了基于窗体的身份验证、基于Windows的身份验证和IIS的验证,以及编写安全代码的内容,在介绍中都根据实例进行介绍,使读者可以更好的理解安全性的问题以及操作创建。通过本章的学习,读者应该掌握: Web.config文件中关于身份验证的配置。 如何实现窗体身份验证 如何实现Windows身份验证,
