webservices(安全与身份验证).pptVIP

安全与身份验证 身份验证: 基于凭据（例如用户名和密码）向颁发机构验证标识的过程 授权 对标识进行了身份验证之后，授权将确定是否对该标识授予访问资源的权限 IP与DNS层安全机制 在IIS的”目录安全性”中设置 优点: 底层的安全机制 发生在其它验证之前 缺点: 代理上网的方式使很多客户端只有一个IP地址 DNS查找非常费时 身份验证中的常用类型 HttpContext 类 封装有关个别 HTTP 请求的所有 HTTP 特定的信息 IPrincipal:定义用户对象的基本功能 Identity属性:获取当前用户的标识 IsInRole方法:确定当前用户是否属于指定的角色 GenericPrincipal类和WindowsPrincipal类实现该接口 身份验证中的常用类型 IIdentity接口:定义标识对象的基本功能 AuthenticationType 属性:验证的类型 IsAuthenticated 属性:是否是通过验证的用户 Name 属性:当前用户的名称 Windows基本验证 集成Windows操作系统中的用户,密码和权限 用户名和密码以明文方式传输 不能自定义扩展(如数据库) NetworkCredential 类 :为基于密码的身份验证方案提供凭据。 代理类的Credentials属性 Windows基本验证 在IIS中设置 DEMO (BasicAuth.asmx,aspx) Windows简要验证 类似基本验证 用户名和密码加密 基于活动目录存储用户信息,需要安装AD 不能自定义扩展(如数据库) Windows集成验证 类似基本验证 在IIS中设置简单 结合域用户的网络环境效果更佳 将加密后的用户名和标识发送到IIS,由IIS将用户名和密码传送到域服务器,因此密码不在网络上直接传播 仅IE支持 不能自定义扩展(如数据库) 使用Kerberos协议需要打开端口 Forms验证 使用自己的代码对用户进行身份验证，然后将身份验证标记保留在 Cookie 或页的 URL 中 通过 FormsAuthentication 类访问 Forms 身份验证信息和功能 客户端标识基于Cookie的形式,效率高 对客户端标识有加密和验证功能,安全性高 可自定义扩展方式(如数据库) Web Services默认不支持,需要自定义实现 使用Session存储Web Services返回的身份验证票据 Forms验证 配置Web.config Forms验证 身份验证票的形式 Forms验证 访问授权 DEMO (FormsAuth1.asmx,aspx) Forms验证 基于角色的授权 生成自己的验证票据,在UserData属性中存储角色信息 在global.asax的Application_AuthorizeRequest事件处理程序中,使用UserData属性中的角色信息,生成新的GenericPrincipal身份 DEMO (FormsAuth1.asmx,aspx) SSL验证 SSL:安全套接字层 服务器和浏览器之间传输的数据通过PKI(公钥加密机制)技术加密 截取的TCP/IP数据包将无法解读 必须从CA(证书颁发机构)获得授权证书(收费) 使用HTTPS协议 SSL验证 实现步骤: 从IIS生成CSR(授权证书申请)和私钥 将CSR发到CA获得SSL授权证书 在IIS中安装SSL证书 原理: 私钥保存在服务器端并用来加密数据,公钥保存在客户端用来解密数据 SSL可以与多种验证方式结合,如基本验证,Windows集成验证,Forms验证等 SSL验证 使用 SOAP 头执行自定义身份验证 ASP.NET请求的处理过程 ASP.NET请求处理过程是基于管道模型的，在模型中ASP.NET把http请求传递给管道中的所有模块。 每个模块都接收http请求并有完全控制权限。模块可以用任何自认为适合的方式来处理请求。 一旦请求经过了所有HTTP模块，就最终被HTTP处理程序处理，并且结果将再次经过管道中的HTTP模块  使用 SOAP 头执行自定义身份验证 ASP.NET请求的处理过程 使用 SOAP 头执行自定义身份验证 HTTP 模块 HTTP 模块是一个在每次针对应用程序发出请求时调用的程