实现Web应用程序的安全控制.ppt

实现Web应用程序的安全控制 学习目标 Web应用程序安全性的基本概念。 配置ASP.NET Web应用程序的的安全。 成员资格概述。 使用Web登录控件管理用户。 使用角色管理授权。 Web应用程序安全性的基本概念 Web应用程序安全性包含下列两方面的功能： （1）身份验证 验证用户的身份。即通过获取用户的凭据（各种形式的标识，如用户名和密码），并通过某些授权机构验证获取的用户凭据。如果这些凭据有效，则将提交这些凭据的实体视为通过身份验证。 （2）授权 授权用户对应用程序资源的访问权限。即通过对已验证身份授予或拒绝对特定资源的访问权限，以实现资源的访问保护和限制。 ASP.NET安全结构 ASP.NET用户身份验证 结合Internet信息服务（IIS），ASP.NET验证用户身份的方法包括： Windows验证 Forms身份验证 Microsoft Passport身份验证 ASP.NET资源授权访问 结合IIS目录权限控制、Web.config配置文件和Windows NTFS文件系统权限，ASP.NET可以实现对Web应用程序的资源授权访问： 主目录/虚拟目录权限：通过IIS，设置IIS主目录路/虚拟目录的访问权限。 Web.config配置文件：使用Web.config，声明列出了已授权用户、已授权角色（组）对各资源的访问权限。 NTFS文件系统权限 ASP.NET 配置文件安全设置 Web.config配置文件中用于安全的配置主要包含三个主要的配置节： authentication authorization location authentication节 authentication节用于配置ASP.NET身份验证方案。 可以指定应用程序使用的验证模式：Windows（默认）/ Forms/ Passport/ None。 authentication节配置格式如下： authentication mode=[Windows|Forms|Passport|None] forms.../forms passport/ /authentication authorization节 authorization节用于配置Web应用程序的授权，以控制客户端对URL资源的访问权限。 例1，下列配置代码允许所有Admins角色成员访问，拒绝所有其他用户访问： configuration system.web authorization allow roles=Admins/ deny users=*/ /authorization /system.web /configuration location节 location节用于指定应用到特定文件或目录的设置。 例如，下列配置代码允许允许匿名用户访问Logon.aspx页面： configuration location path=Logon.aspx system.web authorization allow users=?/ /authorization /system.web /location /configuration DEMO:配置ASP.NET的安全 操作实例10-1：配置ASP.NET的安全 操作任务：配置第9课创建的学生成绩管理系统ASP.NET Web数据库应用程序的安全，当未登录用户访问登录页面以外的页面时，自动跳转到登录页面。 Windows验证概述 在ASP.NET应用程序中，Windows身份验证将Microsoft Internet信息服务（IIS）所提供的用户标识视为已经过身份验证的用户。 IIS提供了下列几种用于验证用户标识的身份验证机制： 匿名身份验 基本身份验证 摘要式身份验证 Windows集成身份验证 基于客户端证书的身份验证 Forms身份验证概述 使用Forms身份验证（即基于窗体的身份验证）时，应用程序通过用户提供的登录用户界面并进行自己的凭据验证。 ASP.NET对用户进行身份验证，将未经身份验证的用户重定向到登录页，并执行所有必要的Cookie管理。 要使用Forms身份验证，必须配置Web.config文件，设置authentication的模式为Forms以启用基于窗体的身份验证，并拒绝匿名用户访问。 使用IIS进行安全授权 使用IIS进行安全授权 （1）IP地址及域名限制 （2）主目录/虚拟目录访问许可 DEMO:配置IIS虚拟目录的权限 操作实例10-2：配置IIS虚拟目录的权限 操作任务：