关于身份验证-成都大学.pptVIP

成员角色控制与管理及登录控件使用 叶安胜 网站安全性 关于身份 关于身份验证，采用什么样的身份验证机制，提供帐号和口令等。 关于授权，系统授予你访问特定区域的权限。 用户的授权，基于用户名和角色(或安全组）(包含用户)，资源是可以针对用户或角色打开或关闭的。 ASP.NET安全性必要性 对于网站而言，用户身份认证与权限管理是非常重要的组成部分。 通过用户名和密码，对用户进行身份验证，并指派他可访问的资源，这部分工作一直是网站开发的重要内容。 不同用户访问相同的页面，根据其身份需要显示不同的内容。这些都涉及到用户权限管理，属于网站开发的核心内容之一。 早期的ASP.NET版本都缺乏高级的支持，不得不在每个网站中编写大量的代码来实现这些安全策略。 问题:都是如何实现这些安全策略的？自定义。（用户表，权限组表，手动配置和更新每个页面的权限等）,其实目前也是使用最多的方式。 平时项目的做法 自定义权限组并设置相应的权限； 定义权限下的用户； 登陆，将用户的信息存入会话变量； 具体功能页中，根据会话值，判断当前用户所属组及相应的权限，并通过权限展现把该用户具备的操作。 每个页面自定义这些代码； 演练… 成都大学科研成果申报系统 在项目中可以这样来实施！ 认证与授权 ASP.NET通过与IIS协同工作来进行授权管理。共两种身份认证方式: ??通过查询ACLS列表或者许可证来判定该访问是否拥有浏览的权利。 认证过程：当用户以访问某网站的时候,会根据用户的登陆信息来判定针对该用户所指定的系统帐号，然后再判断该系统帐号是否对被请求的本地资源有访问权限。（ 或IIS_IUSRS 属于users组，IIS来配置和实现。），具体如何做？ ??通过URL认证 认证过程：通过检查配置文件来进行授权认证。 A的页面认证方式 A的页面认证方式中，可以使用以下三种方式进行身份认证。 ? 通过修改config文件中的authentication属性，可以配置不同的认证方式。 Windows认证方式 Window认证方式通过使用windowsprincipal类对用户的windows身份进行判定，然后根据用户所属的windows身份组来进行认证。 通过域用户，就是windows身份验证，必须是在一个域中，单位内部，由域控制器来统一分配域帐号来实现，对于internet,当然不适合，登录网站，自动分配一个账号及相应的权限，适合局域网。 WINDOWS AUTHENTICATION： ? 需要在web.config里加上 authentication mode=Windows/ 操作演练: User对象的使用，属性和方法。 protected void Button1_Click(object sender, EventArgs e) { Label1.Text += AuthenticationType:+ User.Identity.AuthenticationType; Label1.Text += IsAuthenticated: + User.Identity.IsAuthenticated; Label1.Text += Name: + User.Identity.Name; } NTLM 解释 NTLM 身份验证 NTLM是NT LAN Manager的缩写，这也说明了协议的来源。NTLM 是 Windows NT 早期版本的标准安全协议，Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。 NTLM 身份验证 在网络环境中，NTLM 用作身份验证协议以处理两台计算机（其中至少有一台计算机运行 Windows NT 4.0 或更早版本）之间的事务。具有此配置的网络称为“混合模式”，这是 Windows Server 2003 家族中的默认设置。 　　例如，以下配置将使用 NTLM 作为身份验证机制： 　　Windows 2000 或 Windows XP Professional 客户端向 Windows NT 4.0 的域控制器验证身份。 　　Windows NT 4.0 Workstation 客户端向 Windows 2000 或 Windows Server 2003 域控制器验证身份。 　　Windows NT 4.0 Workstation 客户端向 Windows NT 4.0 域控制器验证身份。 　　Windows NT 4.0 域中的用户向 Windows 2000 或运行 Windows Server 2003 家族的域验证身份。