第3章 资料-网站安全设置.pptVIP

* 7.3 身份验证和授权 所谓身份验证是指确定用户身份的行为。对于身份验证通常是通过让用户提供用户名和密码的方式实现。对于先进的系统，可能还会采用证书或其他身份识别工具来完成。 当用户通过身份验证后，下一步就是授权，即授权进程将确定该身份的用户是否可以访问给定资源。 身份验证是根据用户提供的凭证识别用户的过程。这些凭证与凭证存储中那些现有的凭证进行比较，存储的性质取决于身份验证的类型。 * 身份验证和授权 身份验证的类型写在web.config文件的authentication元素的mode属性中： authentication mode = [ Windows | Forms | Passport | None ] /authentication 在ASP.NET 2.0中提供了四种身份验证方式： Windows验证 Passport验证 Forms验证 None验证 多数情况下，Web应用程序都使用Forms验证方式。 * 7.3.1 Windows身份验证 Windows身份验证方式就是指将Windows身份验证与IIS身份验证结合起来确保ASP.NET应用程序的安全。 默认情况下，ASP.NET被配置为使用Windows身份验证模式，该模式将IIS提供的Windows标识应用于当前应用程序的User属性。它允许通过User属性来确定由IIS提供的标识。 IIS提供了大量用于用户标识的身份验证机制，如匿名身份验证、基本身份验证、Windows域服务器的简要式身份验证以及集成Windows验证等。 * 【例 7?8】 在应用程序的web.config文件中设置mode属性： authentication mode= “windows/ protected void Page_Load(object sender, EventArgs e) { Label1.Text = 用户名 + User.Identity.Name + br; Label2.Text = 验证类型 + User.Identity.AuthenticationType; } * 【例 7?8】浏览 由于本机IIS的问题，在本机上此例不可运行。 * 7.3.2 Passport身份验证 Passport身份验证是由Microsoft提供的集中身份验证服务，该服务为成员站点提供单一登录和核心配置文件服务。 在ASP.NET应用程序中实现Passport身份验证的步骤如下： 通过.NET Passport网站，可以对.NET Passport SDK进行下载、安装和配置。用户必须完成注册表单才能获得SDK。 在应用程序的web.config文件中设置mode属性： authentication mode= Passport/ 使用Passport文档和.NET Passport SDK功能，实现Passport身份验证和授权。 * 7.3.3 None身份验证 在None验证方式下，ASP.NET应用程序不对请求进行任何附加身份验证。 用于匿名用户和可以提供其自己的身份验证的应用程序。 * 7.3.3 Forms身份验证 Forms身份验证提供了一种方法，可以使用用户创建的登录窗体验证用户的用户名和密码。 用户利用Forms身份验证方式访问受保护页面的过程如下所示： 用户请求需要身份验证的页面（default.aspx）； HTTP模块调用Forms验证，并检查身份验证标记； 如果没有发现身份验证标记，则重定向到用户登录页面（login.aspx），使用ReturnUrl将原请求页面default.aspx的信息放在查询字符串中。 如果通过身份验证，则重定向到ReturnUrl中指定的原请求页面。默认情况下，身份验证标记以Cookie的形式发出。 * 【例 7?9】 web.config文件中 authentication mode=Forms forms name=formauthentication loginUrl=login.aspx credentials passwordFormat=Clear user name=student password=1234/ user name=teacher password=5678/ /credentials /forms /authentication 说明使用“Forms”验证方式 说明不对用户密码加密 说明定义两个用户 * 【例 7?9】(login.aspx) 用户名：asp:TextBox ID=name runat=server / asp:RequiredFieldValidator ID = RequiredFieldValidator1 runat=s