第13章安全性成员和角色管理.ppt

第31页/共37页 第32页/共37页 第33页/共37页 第34页/共37页 第35页/共37页 第36页/共37页 第37页/共37页 本章内容 ASP.NET安全性简介 表单验证 成员 角色管理 登录控件 第1页/共37页 13.1 ASP.NET安全性简介 安全性目的：控制资源的可访问性。 特点：多层次实现。ASP.NET与.NET Framework、IIS及Windows协同工作，共同完成安全性保护。 两种基本保护方法： 成员资格：即身份验证，验证和管理 Web 应用程序的用户信息。 角色管理：即授权，根据身份进行相应的操作。授权的基本方式是基于角色。角色就是将许多任务划分为不同的任务组，从而设定角色所能完成的任务。 客户端发出请求 IIS 接受一个请求 是否允许用户的IP访问 是否允许匿名访问 在IUSER—Computername 账户下运行 IIS验证 Windows验证用 户是否通过 ASP.NET执行相关的安全检查用户是否通过 Windows验证 Form验证 Passport验证 返回用户请求的页面 否 否 否 是 第2页/共37页 13.1.1 IIS安全概览 IIS是安全检查的第一层次。 ASP.NET IIS接收请求 IP地址是否 允许访问这 个域? [No] [Yes] 用户是 验证的？ [Yes] IIS 拒绝访问 [No] [Request] 第3页/共37页 IIS验证有很多方式： 基本验证：用户名和密码在http中传输，未加密。 摘要验证：使用套接字，可以实现信息加密。 基于证书验证：需要购买证书。 集成Windows验证：内部局域网使用。 第4页/共37页 13.1.2 ASP.NET验证性过程 ASP.NET 为在单个 Web 服务器上作为多个应用程序的宿主提供了极佳的环境。 ASP.NET应用程序必须以一个指定的帐户身份访问服务器资源。默认情况下，在安装有IIS和ASP.NET的计算机系统中会有一个默认的帐户，其账户名为ASPNET。打开控制面板-管理工具-计算机管理，在其中的本地用户和组中可以看到一个ASPNET帐户。 用户也可以设置一些特殊任务的帐户供ASP.NET程序使用。在使用时需要在web.config中配置。例如： configuration system.web … identity impersonate=true userName=JohnLocke password=aj3*a2hd / /system.web /configuration 说明：该帐户是针对所有ASP.NET访问者的，一般情况下还不足以对用户进行分类控制。 第5页/共37页 13.1.3 代码访问安全和ASP.NET信任级别 除了用户确认之外，每个应用程序需要进行一些安全地配置作为 ASP.NET 应用程序的宿主的服务器的信任级别和策略设置。信任级别有四种： Full：可进行任何操作，所有的.NET代码都允许执行，任何.NET类都可以使用。默认级别。 High：代码可以使用.NET框架的大部分。 Medium：目录限制 Low：只读 Minimal：没有和资源交互的能力 信任级别使用web.config文件中的trust元素设置： system.web ... trust level=Medium/ /system.web 说明：信任级别都定义在策略文件中，可以根据需要修改。在管理工具中可以看到本地安全策略设置。 第6页/共37页 13.1.4 ASP.NET验证 IIS验证以后，会将请求和一个安全性标记传递给ASP.NET运行时，再由ASP.NET进行验证。 ASP.NET支持多种验证模式，在web.config中进行设置。如: system.web … authentication mode=Windows / /system.web 验证模式包括： None:不验证。 Windows:网络内部使用，IIS会先经过验证，如果通过，则会把安全性标记传递给ASP.NET。 Passport:使用Passport验证服务器进行验证。 Form:表单验证。一般提供登录页面，根据验证结果确定重定向页面。 第7页/共37页 13.2 表单验证 一般的网站都会定义一个登录的表单，接收用户输入的验证信息，一般包括用户名和密码，当经验证合法的用户可以操作系统的资源(访问一些页面)。否则的话，访问任何页面都会重定向到登录表单页面。 可在Web.config中设置验证的表单。 system.web … authentication mode=Forms forms loginUrl=Login.aspx / /authen