设计由应用程序管理的授权.docVIP

设计由应用程序管理的授权 摘要 本指南介绍为基于 Microsoft? .NET 的单层或多层应用程序设计和编写由应用程序管理的授权的指导原则，主要讨论常见的授权任务和方案，并提供相应的信息帮助您选择最佳方法和技术。本指南适用于体系结构设计人员和开发人员。 本指南假定读者已经了解 Windows 身份验证和授权、XML Web Service 以及 .NET Remoting 等主题的基本知识。有关设计分布式 .NET 应用程序的详细信息，请参阅 MSDN? Library 中的“Designing Applications and Services”。有关分布式应用程序安全设计的详细信息，请参阅 MSDN Library 中的 Building Secure ASP.NET Applications（英文）。有关其他的常规设计准则，请参阅 Microsoft TechNet 中的 .NET Architecture Center（英文）。 下载 单击此处下载本指南（PDF 格式）。 目录 本指南包括以下各节： 简介 了解授权 设计用于授权的身份验证 设计用于授权的标识流 在企业应用程序中执行授权 使用基于角色的 .NET 安全设置创建授权代码 重复使用授权实现 附录 简介 本指南介绍如何在基于 .NET 的应用程序中实现授权，解释术语“授权”并讨论几种执行授权的机制。本指南还包括以下内容： 标识和主体等重要概念。 如何使用基于角色的安全设置来授权具有相同安全特权的一类用户。 基于角色的 .NET 和 COM+ 安全设置之间的主要区别。 采用何种授权机制通常取决于验证用户身份（标识）的方法。本指南将探讨以下内容： Windows 身份验证和非 Windows 身份验证之间的区别。 这些身份验证机制如何影响授权。 如何向远程应用程序层传递用于授权的标识信息。 在典型的企业应用程序中，需要在应用程序的不同层次执行不同类型的授权。为了帮助您识别各层的授权需要以及在不同的方案中选择合适的授权策略，本指南介绍在用户界面层、业务层和数据层中通常使用的典型授权任务。图 1 显示了企业应用程序的各个层上出现的一些重要授权问题。 图 1：在企业应用程序的各层中执行授权 .NET Framework 类库提供了多种接口和类，帮助您使用基于角色的 .NET 安全设置来执行授权。本指南介绍： 几种检查用户是否属于某个特定角色的技术。 如何处理授权错误。 在多线程的 .NET 应用程序中出现的特殊授权问题。 定义授权框架时所做的大部分工作，都可以在多个应用程序中重复使用。本指南将对以下内容进行总结： 如何定义可重复使用的授权框架。 使框架的安全性和性能达到最佳的原则。 注意：本指南适用于使用 .NET Framework 功能进行由应用程序管理的授权。Microsoft Windows? Server 2003 系列操作系统中的授权管理器 API 和 Microsoft Management Console (MMC) 管理单元，为应用程序提供了具有完整的基于角色的访问控制框架。授权管理器 API 也称为 AzMan，它提供了一种简化的开发模型，用于管理灵活的分组和业务规则，并可用于存储授权策略。有关详细信息，请参阅 MSDN Library 中的 Authorization Interfaces（英文）和 Authorization Objects（英文）。 了解授权 “授权”是对通过验证的主体（用户、计算机、网络设备或程序集）是否具有执行某项操作的权限的确认。授权提供的保护只允许指定用户执行特定操作，并防止恶意行为。 本节的内容如下： 授权提供的保护。 基本授权。 .NET Framework 的授权功能。 降低安全威胁 仅有授权还不足以保证应用程序的安全，因此，本指南将简要介绍应用程序面临的几种威胁。以下是一些常见的安全威胁，这些威胁通常缩写为“STRIDE”，包括： 标识欺骗 - 未授权的用户冒充应用程序的合法用户 篡改数据 - 攻击者非法更改或毁坏数据 可否认性 - 用户否认执行了操作的能力 信息泄露 - 敏感数据被泄露给本应无权访问的人或位置 拒绝服务 - 导致用户无法使用应用程序的破坏行为 特权升级 - 用户非法获得过高的应用程序访问特权 您可以使用以下技术来解决 STRIDE 威胁： 身份验证 - 严格的身份验证有助于减少标识欺骗。当用户登录到 Windows 或启动应用程序时，他（她）会输入“凭据”信息，如用户名和密码。Windows 使用 NTLM 或 Kerberos 等协议验证用户的凭据，并让用户登录到系统。应用程序则通常使用系统登录产品，或者以实现自定义身