第九章-网站安全与验证.pptVIP

【例】RangeValidator控件的使用 【例】 CompareValidator控件属性 【例】 Windows身份验证 protected void Page_Load(object sender, EventArgs e) { Label1.Text = 用户名 + User.Identity.Name + br; Label2.Text = 验证类型 + User.Identity.AuthenticationType; } PasswordRecovery的配置属性 用户授权 用户授权是指对已通过身份验证的用户授予或拒绝访问资源的权限。在ASP.NET中，主要有两种方式来授予对给定资源的访问权限。 文件授权：文件授权由FileAuthorizationModule类来实现。这种授权方式主要通过系统管理员对文件权限的设定来实现的。 URL授权：URL授权由UrlAuthorizationModule类来实现。它可以显式地允许或拒绝某个用户名或角色对特定目录的访问权限。 allow和deny元素分别表示授予访问权限或撤销访问权限，它们都有三个属性： users：标识允许或拒绝访问资源的用户。问号（?）表示匿名用户（即未经身份验证的用户），星号（*）表示所有经过身份验证的用户。 roles：标识允许或拒绝访问资源的角色。 verbs：定义操作中所用的HTTP提交方式。如GET、HEAD和POST。默认值为“*”，表示支持所有的HTTP提交方式。 成员资格管理 ASP.NET成员资格管理是用来验证和管理Web应用程序中的用户信息。包括验证用户凭据、创建和修改用户以及管理用户设置等。通过成员资格，可以使用选择的数据源管理应用程序的用户身份验证，而不需要其他大量代码来与成员资格数据源进行通信。 虽然ASP.NET成员资格主要用于ASP.NET Forms身份验证，但也可用于ASP.NET应用程序中的任何位置。 成员资格的功能 ASP.NET成员资格支持下列功能： 创建和管理用户信息 实现用户身份验证 提供对多种数据存储区中的成员资格管理 实现成员资格个性化设置和角色管理（授权）系统集成 成员资格管理提供程序关系 若要使用成员资格，要注意以下几点： 存储成员资格的数据存储区：默认情况下，成员资格信息存储在Microsoft SQL Server数据库中，并由内置的成员资格提供程序实现数据库访问。 成员资格提供程序：成员资格提供程序可以在web.config中指定。 Membership类和MembershipUser类 为成员资格定义用户帐户。 将应用程序配置为使用Forms身份验证（与Windows或Passport身份验证不同）。 成员资格的数据存储区 ASP.NET成员资格的关键是可以在数据库中存储用户信息。可以选取要存储的信息和使用的安全策略，ASP.NET负责管理用户数据库——包括添加用户信息，当用户登录时验证用户身份等。这样可以大量减少自行编写的复杂繁琐的代码，可以创建一个安全的站点几乎不用编写代码，工作量减少而且不需担心有漏洞和错误，因为ASP.NET成员管理模块可以很好地完成各项工作。 以下几种情况下可以考虑不使用成员资格数据存储： 不希望在指定数据库中存储信息。 需要向下兼容。 希望在非ASP.NET的应用程序中管理用户信息。 成员资格提供程序 成员资格提供程序负责与数据库之间的交互。如果将应用程序配置为使用不同的成员资格提供程序，便可在应用程序中切换基础的成员资格数据存储区，而无需更改任何应用程序代码。还可以通过自定义提供程序来扩展成员资格系统，这样可以将成员资格系统链接到现有的用户数据。ASP.NET附带有两个成员资格提供程序：一个使用Microsoft SQL Server作为数据源，而另一个使用Windows Active Directory。 MemberShip类常用的属性 指定用于对密码值进行哈希运算的加密算法的名称。默认值为SHA1。 String hashAlgorithmType 指定用户帐户的上次活动日期时间戳之后的分钟数 String userIsOnlineTimeWindow 默认成员资格提供程序的名称。默认值为AspNetSqlProvider。 String defaultProvider 说明 数据类型 名称 SQL Server数据库配置 ASP.NET包括一个名为Aspnet_regsql.exe的工具，该工具用来安装SQL Server提供程序所使用的SQL Server数据库。Aspnet_regsql.exe工具默认情况位于Web服务器上的C:\WINDOWS\ Microsoft.NET\ Framework\ versionNumber