第13章 安全性、成员及角色管理.pptVIP

第13章 安全性、成员和角色管理 郑州信息科技职业学院 张中兴 本章内容 ASP.NET安全性简介 表单验证 成员 角色管理 登录控件 13.1 ASP.NET安全性简介 安全性目的：控制资源的可访问性。 特点：多层次实现。ASP.NET与.NET Framework、IIS及Windows协同工作，共同完成安全性保护。 两种基本保护方法： 成员资格：即身份验证，验证和管理 Web 应用程序的用户信息。 角色管理：即授权，根据身份进行相应的操作。授权的基本方式是基于角色。角色就是将许多任务划分为不同的任务组，从而设定角色所能完成的任务。 13.1.1 IIS安全概览 IIS是安全检查的第一层次。 IIS验证有很多方式： 基本验证：用户名和密码在http中传输，未加密。 摘要验证：使用套接字，可以实现信息加密。 基于证书验证：需要购买证书。 集成Windows验证：内部局域网使用。 13.1.2 ASP.NET验证性过程 ASP.NET 为在单个 Web 服务器上作为多个应用程序的宿主提供了极佳的环境。 ASP.NET应用程序必须以一个指定的帐户身份访问服务器资源。默认情况下，在安装有IIS和ASP.NET的计算机系统中会有一个默认的帐户，其账户名为ASPNET。打开控制面板-管理工具-计算机管理，在其中的本地用户和组中可以看到一个ASPNET帐户。 用户也可以设置一些特殊任务的帐户供ASP.NET程序使用。在使用时需要在web.config中配置。例如： configuration system.web … identity impersonate=true userName=JohnLocke password=aj3*a2hd / /system.web /configuration 说明：该帐户是针对所有ASP.NET访问者的，一般情况下还不足以对用户进行分类控制。 13.1.3 代码访问安全和ASP.NET信任级别 除了用户确认之外，每个应用程序需要进行一些安全地配置作为 ASP.NET 应用程序的宿主的服务器的信任级别和策略设置。信任级别有四种： Full：可进行任何操作，所有的.NET代码都允许执行，任何.NET类都可以使用。默认级别。 High：代码可以使用.NET框架的大部分。 Medium：目录限制 Low：只读 Minimal：没有和资源交互的能力 信任级别使用web.config文件中的trust元素设置： system.web ... trust level=Medium/ /system.web 说明：信任级别都定义在策略文件中，可以根据需要修改。在管理工具中可以看到本地安全策略设置。 13.1.4 ASP.NET验证 IIS验证以后，会将请求和一个安全性标记传递给ASP.NET运行时，再由ASP.NET进行验证。 ASP.NET支持多种验证模式，在web.config中进行设置。如: system.web … authentication mode=Windows / /system.web 验证模式包括： None:不验证。 Windows:网络内部使用，IIS会先经过验证，如果通过，则会把安全性标记传递给ASP.NET。 Passport:使用Passport验证服务器进行验证。 Form:表单验证。一般提供登录页面，根据验证结果确定重定向页面。 13.2 表单验证 一般的网站都会定义一个登录的表单，接收用户输入的验证信息，一般包括用户名和密码，当经验证合法的用户可以操作系统的资源(访问一些页面)。否则的话，访问任何页面都会重定向到登录表单页面。 可在Web.config中设置验证的表单。 system.web … authentication mode=Forms forms loginUrl=Login.aspx / /authentication authorization deny users=?/ /authorization /system.web 此处定义了验证的表单为Login.aspx。无论访问网站的哪个页面，系统都会先重定向到该页面。 注意单词“authentication”表示验证，“authorization”表示授权，此处的含义是拒绝所有未经验证用户访问站点资源。 13.2.2 创建一个登录表单 ASP.NET 2.0支持一种窗体身份验证，其处理由FormsAuthenticationModule类实现，该类是一个参与常规ASP.NET页处理循环的HTTP模块。窗体验证的步骤如下： 用户请求一个需要通过身份验证才有权限访问页面； 如果窗体验证处理模块检测到该