WEB应用程序设置与安全.pptVIP

第八章 ASP.NET应用程序的设置与安全 褚龙现 chulongxian@126.com 回 顾 全局应用程序类 配置文件Web.config 教学内容 配置文件Web.config ASP.NET安全机制 教学要求 重点 掌握配置文件和身份验证 难点 身份验证和授权 * * * * * 软件学院 回顾--全局应用程序类Global.asax Application_Start事件 Application_End事件 Application_Error事件 Session_Start事件 Session_End事件 回顾–配置文件语法规则 所有的配置都必须放在configuration标记之间，该标记称为根元素。 除了appSettings和location之外，其他所有设置必须放在system.web标记之间。 回顾– appSettings 元素 该配置用于自定义属性，如连接字符串。其格式为： appSettings add key=“设置名” value=“设置值” /add /appSettings 回顾– sessionState 元素 该配置用于设置Session状态信息： system.web sessionState mode=“” cookieless=“” timeout=“” /sessionState /system.web 8.3.2 配置文件 customErrors元素 location元素 customErrors元素 该配置用来为应用程序定义自定义错误： customErrors defaultRedirect=“url” mode=“On|Off|RemoteOnly” error statusCode=“” redirect=“”/ /customErrors customErrors元素 出错缺省显示由defaultRedirect指定的页面，mode为on时，遵循custom Errors配置段进行出错处理；mode为off时，忽略用户出错，mode为Remot eOnly时，本地显示出错的原因。 location元素 该配置用于将设置应用于Web服务器的特定位置： location path=“” system.web authorization deny users=“?”/ /authorization /system.web /location 8.4 ASP.NET安全机制 身份验证 授权 8.4.1 身份验证 身份验证通过配置文件Web.config，使用authentication元素进行控制。 system.web authentication mode=“” /authentication /system.web 验证方式 ASP.NET提供三种验证模式： Windows验证 Forms验证 Passport验证 Forms身份验证步骤 客户向站点请求受保护的页面 如果请求没有包含有效验证cookie，重定向到Web.config中Authentication的loginURL指定的URL，该页面包含用户登录表单 证件输入到表单，并通过表单传送提交 如果证件有效，客户机上创建验证cookie 用户登录后被重定向到起初请求页面 FormAuthentication对象 该对象有四个常用方法： RedirectFormLoginPage GetAuthCookie SetAuthCookie SignOut forms 元素 用于设置Forms身份验证方式相关信息 主要包含的属性有 name：指定验证cookie loginUrl：未验证用户重定向 protection：指定cookie使用的加密类型 timeout：cookie过期时间 credentials 元素 提供用于验证的用户名和密码定义 包含子元素：user passwordFormat属性：指定发送证件给服务器应使用的加密方法 例 authentication mode=“Forms” forms name=“autoWeb” loginUrl=“login.aspx” credentials passwordFormat=“Clear” user name=“aaa” password=“aaa”/ us