实现Web应用程序的安全控制要点.pptVIP

实现Web应用程序的安全控制 学习目标 Web应用程序安全性的基本概念 配置ASP.NET Web应用程序的安全 成员资格概述 使用角色管理授权 使用Web登录控件管理用户 基于Windows的身份验证和安全授权 Web应用程序安全性的基本概念 ASP.NET安全结构 ASP.NET用户身份验证 结合Internet信息服务（IIS），ASP.NET验证用户身份的方法包括： Windows验证 Forms身份验证 Microsoft Passport身份验证 ASP.NET 配置文件安全设置 Web.config配置文件中用于安全的配置主要包含三个主要的配置节： authentication authorization location Forms身份验证概述 操作实例10-1：基于Forms的身份验证 使用Web.config文件的authorization节配置授权 authorization节用于配置Web应用程序的授权，以控制客户端对URL资源的访问权限。 例1，下列配置代码允许所有Admins角色成员访问，拒绝所有其他用户访问： configuration system.web authorization allow roles=Admins/ deny users=*/ /authorization /system.web /configuration 操作实例10-2：使用authorization节配置授权 使用Web.config文件的location节配置授权 location节用于指定应用到特定文件或目录的设置 例如，下列配置代码允许guest用户访问guest文件夹中的页面： configuration location path=guest system.web authorization allow users=guest/ /authorization /system.web /location /configuration 操作实例10-3：使用的location节配置授权 使用Web.config文件的authentication节配置授权 authentication节用于配置ASP.NET身份验证方案。 可以指定应用程序使用的验证模式：Windows（默认）/ Forms/ Passport/ None。 authentication节配置格式如下： authentication mode=[Windows|Forms|Passport|None] forms.../forms passport/ /authentication 成员资格的基本概念 配置网站以使用成员资格 创建用户 用户登录页面 操作实例10-4：创建包含成员资格系统的网站 角色管理的基本概念 配置网站以使用角色管理 若要使用ASP.NET角色管理，需要在Web.config文件中启用它，配置代码如下： configuration system.web roleManager enabled=true / /system.web /configuration 创建角色和将用户分配给角色 配置基于角色的访问规则 操作实例10-5~10-6 Web登录控件的概念 CreateUserWizard 控件 CreateUserWizard控件提供用于创建新网站用户帐户的界面 根据用户输入的信息，使用成员资格提供程序，在成员资格数据存储区创建新用户帐户。 操作实例10-7：使用CreateUserWizard控件创建用户注册页面 Login 控件 Login控件提供用户登录网站的用户界面。 Login控件使用成员资格服务在成员资格系统中对用户进行身份验证 操作实例10-8：使用Login控件创建登录页面 LoginView 控件 LoginStatus 控件 LoginName 控件 LoginName控件在页上显示当前经过身份验证的用户名（Page.User.Identity.Name）。 如果用户没有登录，则该控件不在页上呈现，并且不占任何视觉空间 通过设置FormatString属性，可以更改由LoginName控件显示的文本 操作实例10-9：使用LoginView控件检测用户身份 ChangePassword控件 操作实例10-10：使用ChangePassword控件创建密码修改页面 PasswordRecove