ASP_NET中认证安全特征评述------外文翻译.doc

ASP. NET 中认证安全特征评述 摘　要: 讨论了服务应用时支持安全的ASP. NET 认证特征,微软的互联网信息服务( IIS) 和ASP.NET 提供了安全模式,使Web 开发者恰当地认证其使用者,并在应用过程中获得正确的安全之本. 三个层次的认证是基于表单的,身份证书和视窗认证. 综述文献仅限于上述三个领域. 关　键　词: 表单; 身份证书; 视窗认证 中图分类号: TP 393108 　文献标识码: A 文章编号: 1000 - 1646 (2003) 03 - 0250 - 05 安全是开发人员和应用程序架构师首要关注的问题由于不同类型的网站不同的安全需要，开发人员需要知道安全，并选择适当的。些网站信息用户。一些网站，可能用户的敏感信息信用卡号码这些网站需要安全，以避免恶意攻击。ASP . NET应用程序的基本涉及验证，授权和模拟。验证的过程中证用户身份允许或拒绝请求这涉及到接受凭据（如用户名和密码）。经过身份验证，用户资源求得到满足。，用户身份验证，直到用户应用。用户访问特定资源。模拟的过程，使应用程序用户的身份，从而要求的其他资源基于模拟身份资源将被授予。 是Web应用程序的安全一个重要的。在ASPNET中，验证在两个层次上[2 ]首先， Internet信息服务（ IIS ）将必要的验证，然后请求发ASP.NET中图1所描述的。ASPNET应用程序的Web服务器基本是IIS 。因此，每ASP.NET应用程序可以继续利用所提供的的安全性选项。当用户请求特定资源，这一要求将到IIS 。 IIS验证用户的请求，然后认证用户ASP.NET工作进程。 ASPNET工作进程将决定是否模拟验证IIS所提供的。如果Webconfig文件模仿配置是启用的 ASP.NET工作进程模拟验证使用者。否则， ASPNET将自行验证用户身份。毕竟， ASP.NET用户是否有权访问这些资源。如果他们允许ASP. NET提供请求的服务; 否者他将一个“ ”的错误讯息传回给用户。 图1 IIS和ASP.NET的安全流程 ASP.NET通过几认证提供了内置用户身份验证 [1.4]它们是基于的身份验证，应用程序使用自定义身份验证模式的Cookie支持应用程序使用微软身份验证是微软开发的Web单点登录技术验证Web应用程序使用集成身份验证获得用户。 有些应用程序不使用身份验证，或验证。在这种情况下， 可以ASP. NET中身份验证模式设置。本文将简要地,身份证书和视窗认证。 2.1 基于表单的认证 认证验证用定制逻辑执行验证用户，用Cookie而无需担心管理。这使开发获得更多的指定哪些文件在网站上可获取和由何人，并可以识别的登录页[3]这一机制将自动重定向未用户登录页，并请他们提供适当的凭据（例如，用户名/密码组合。如果登录成功ASP.NET分配cookie给用户，并重定向到他们原先求特定资源。此Cookie允许用户特资源，而不必登录机制显示如下： 图 2表认证流在上图中，用户。这一求将到IIS，由IIS进行用户身份验证的。如果IIS启用匿名访问，或者已成功验证，将请求ASP.NET应用程序。ASPNET中查是否有效的身份验证cookie附请求。如果，它意味着用户验证。 ASPNET将执行授权检查。如果用户访问这些资源，将被访问。否则。如果提出的请求没有任何ookie，ASP.NET将重定向用户登录页面，并。应用程序代码检查证书。如果身份验证ASP.NET将附加验证的形式ookie。如果失败了，用户可以被重定向到登录页告诉用户，该用户名/密码无效。认证一般来说，建立认证涉及4个步骤[2] （一）启用匿名访问IIS（二）配置Webconfig文件中的authentication（三）设定Webconfig文件中的authorization（）创建登录页。（一）启用匿名访问IIS：这有许多工作要做，因为大多数的用户用户，所以他们通过IISASP. NET ，ASP.NET将始终允许匿名访问。（二）配置Webconfig文件中的 authentication Web.config文件包含了一个Web应用程序的和身份验证服务的类型相关信息。该验证设置Web应用程序的身份验证模式属性[3]: 正如上面的代码，属性HTTP cookie的名称。loginURL属性设置为登录。如需，这是该网页所使用的身份验证的用户凭据。如果用户没有通过验证重定向到特定网址loginURL。保护属性有效值为，无，加密和验证Cookie保护设置为所有这导致ASPNET运行不仅加密Cookie的内容，而且验证Cookie的内容 [8]如果它不使用任何加密或验证。指定加密将使用DES或DES加密算法加密Cookiecookie中数据验证不这样做指定验证cookie的数据未作