采用自定义主体Principal和身份Identity实现基于窗体的验证 Implementation of form verification by self-defined principal and identity.pdfVIP

第28卷／2008年第4期 湖南电力 研究与试验 实现基于窗体的验证 刘星 (湖南省湘电试验研究院有限公司，湖南长沙410007) 摘要：采用自定义主体Principal和身份Identity实现基于窗体的验证，构建了一个灵 活方便的安全权限管理系统。文中综合使用了数据库技术、面向对象设计技术、操作系 统权限管理，．NET框架中基于代码访问安全性和基于角色访问安全性等多方面技术。 关键词：身份验证；自定义主体；自定义身份 中图分类号：TP393文献标识码：A offormverification self-definedand Implementation by principalidentity LIU Xing ElectricPowerTest＆Rese灿ch (Htman Institute，Chan铲ha410007。China) arid flexibleandconvenientsafe identity，a authority Abstract：印i砷】锄eI吐吨form豫＆硒∞b，self-defined两ncjpal Inanagenlentsystem帅constructed．Databasetechnology，obj∞t-orienteddesign，OSauthority舶m协孕=m咖t，鲥嘲∞eurity basedon androlein．NETframe used． technology cede w∽integrated K盯words：identityverificati∞；self-definedp嘲eipal；sdf-de6nedidentity 对于WEB应用程序开发，保证WEB站点的系统用户验证与授权方法。 安全是一个复杂而关键的问题。安全的含义既包括 不允许非授权用户访问特定资源，也包括允许授权 用户方便地访问授权资源。基于ASP．NET开发的 WEB应用程序，采用NET框架与IIS、操作系统协 同提供应用程序的安全性。 ASP．NET支持4种类型用户身份验证，通过 在配置文件Web．Config中把设置authentication 项中的mode属性设置为“Windows”，“Forms”。 “Passport”或“None”，可以决定ASP．NET采用 的验证模式。目前广泛应用于internet的是基于窗 体的验证，即“Forms”身份验证模式。见图1。 要实现上述验证流程，需要做如下几项工作： (1)修改Web．Cortfig文件；(2)在登陆文件(比 如login．aspx)中将用户信息写入cookies并加密； 图l ASP．NET基于窗体验证的安全性处理流程 (3)在Global．a$ax文件的Application—Authentica- teRequest事件中取得用户身份；(4)在需要授权 1数据库设计方案 才能访问的资源页面检查用户授权。文中设计了一 种通用的、基于数据库的、可以灵活应用的WEB 收稿日期：2007-10-18 ·9· 万方数据 研究与试验