- 1、本文档共42页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[工学]10_实现Web应用程序的安全控制
实现Web应用程序的安全控制 学习目标 Web应用程序安全性的基本概念。 配置ASP.NET Web应用程序的的安全。 成员资格概述。 使用Web登录控件管理用户。 使用角色管理授权。 Web应用程序安全性的基本概念 Web应用程序安全性包含下列两方面的功能: (1)身份验证 验证用户的身份。即通过获取用户的凭据(各种形式的标识,如用户名和密码),并通过某些授权机构验证获取的用户凭据。如果这些凭据有效,则将提交这些凭据的实体视为通过身份验证。 (2)授权 授权用户对应用程序资源的访问权限。即通过对已验证身份授予或拒绝对特定资源的访问权限,以实现资源的访问保护和限制。 ASP.NET安全结构 ASP.NET用户身份验证 结合Internet信息服务(IIS),ASP.NET验证用户身份的方法包括: Windows验证 Forms身份验证 Microsoft Passport身份验证 ASP.NET资源授权访问 结合IIS目录权限控制、Web.config配置文件和Windows NTFS文件系统权限,ASP.NET可以实现对Web应用程序的资源授权访问: 主目录/虚拟目录权限:通过IIS,设置IIS主目录路/虚拟目录的访问权限。 Web.config配置文件:使用Web.config,声明列出了已授权用户、已授权角色(组)对各资源的访问权限。 NTFS文件系统权限 ASP.NET 配置文件安全设置 Web.config配置文件中用于安全的配置主要包含三个主要的配置节: authentication authorization location authentication节 authentication节用于配置ASP.NET身份验证方案。 可以指定应用程序使用的验证模式:Windows(默认)/ Forms/ Passport/ None。 authentication节配置格式如下: authentication mode=[Windows|Forms|Passport|None] forms.../forms passport/ /authentication authorization节 authorization节用于配置Web应用程序的授权,以控制客户端对URL资源的访问权限。 例1,下列配置代码允许所有Admins角色成员访问,拒绝所有其他用户访问: configuration system.web authorization allow roles=Admins/ deny users=*/ /authorization /system.web /configuration location节 location节用于指定应用到特定文件或目录的设置。 例如,下列配置代码允许允许匿名用户访问Logon.aspx页面: configuration location path=Logon.aspx system.web authorization allow users=?/ /authorization /system.web /location /configuration DEMO:配置ASP.NET的安全 操作实例10-1:配置ASP.NET的安全 操作任务:配置第9课创建的学生成绩管理系统ASP.NET Web数据库应用程序的安全,当未登录用户访问登录页面以外的页面时,自动跳转到登录页面。 Windows验证概述 在ASP.NET应用程序中,Windows身份验证将Microsoft Internet信息服务(IIS)所提供的用户标识视为已经过身份验证的用户。 IIS提供了下列几种用于验证用户标识的身份验证机制: 匿名身份验 基本身份验证 摘要式身份验证 Windows集成身份验证 基于客户端证书的身份验证 Forms身份验证概述 使用Forms身份验证(即基于窗体的身份验证)时,应用程序通过用户提供的登录用户界面并进行自己的凭据验证。 ASP.NET对用户进行身份验证,将未经身份验证的用户重定向到登录页,并执行所有必要的Cookie管理。 要使用Forms身份验证,必须配置Web.config文件,设置authentication的模式为Forms以启用基于窗体的身份验证,并拒绝匿名用户访问。 使用IIS进行安全授权 使用IIS进行安全授权 (1)IP地址及域名限制 (2)主目录/虚拟目录访问许可 DEMO:配置IIS虚拟目录的权限 操作实例10-2:配置IIS虚拟目录的权限 操作任务:
文档评论(0)