AS P.NET中验证和授权的原理和设计.docVIP

ASP.NET中验证和授权的原理和设计 第27卷第l2期 2010年l2月 计算机应用与软件 ComputerApplicationsandSoftware Vo1.27No.12 Dec.2010 ASP.NET中验证和授权的原理和设计 郑芳 (山西财经大学山西太原030006) 摘要通过对用户访问页面流程的分析,在从起始路径到目标路径的访问流中,插入两个控制点,拦截起始流,处理验证和授权 事件.找到了处理验证和授权的合适时机,实现了A下权限管理系统的设计,并通过实验予以验证. 关键词RBACAAuthenticateRequest事件身份验证票GenericPrincipal ASP.NETAUTHENTICATIoNANDAUTHoRISATIoNPRINCIPLEANDDESIGN ZhengFang (ShanxiUniversityofFinanceandEconomics,Taiyuan030006,Shanxi,China) AbstractBytracinguserpagevisits,twocontrolpointsareinjectedalongtheaccessflowbetweenthesourcepathandthedestination pathwhosetasksincludeinterceptingthesourceflow,dealingwithauthenticationsandauthorisingevents.Thearticleclaimstohavefound thepropermomentforauthenticationandauthorisation,andimplementedtheAPrivilegeManagementSystemDesignwhichisverified byexperiments. KeywordsRBAC. AAuthenticateRequesteventFormsAuthenticationTicketGenericPrincipal 0引言 随着信息系统的普及,控制用户访问权限,让不同级别的用 户只能访问他应该访问的页面,而不越权访问,成为信息系统设 计时必须考虑的一个问题.RBAC成为解决这个问题的理论 模型. 1RBAC的理论模型 RBAC是关于用户,角色和权限的理论模型…,其基本思想 是:将权限分配给角色,将用户按角色划分,通过角色把用户和 权限联系起来,只有当某个用户属于某个角色时,它才可以访问 这个角色所拥有的权限. RBAC主要由验证和授权两部分组成,验证包含用户验 证和角色验证,用户验证是验证用户是否为合法用户,即用户名 和密码是否和已注册用户相同,而角色验证是查找用户所属的 角色.角色表和用户表都存储在数据库中,验证通过查找数据 库进行匹配. 授权就是判断某个角色是否拥有对某个资源(页面)的访问权 限,权限以表的形式存储在数据库中或者通过配置xml文件实现. 基于RBAC理论模型开发的系统,我们称其为权限管理系统. 2权限管理系统的设计 2.1通过页面访问流程进行分析 如果没有权限管理系统,访问路径为:从起始页面直接跳转 到目标页面.但是如果我们限制了目标页面的访问权限,就要 在访问目标页面之前进行拦截,以处理验证和授权,判断当前用 户是否拥有对目标页面的访问权限.所以,我们在起始页面和 目标页面之间插入了两个控制点,流程图如图1所示. -———授权 目标页面l 图1用户访问页面流程 图1中的虚线部分即为权限管理系统,主要由验证和授权 两部分组成. 因为系统中的所有页面都要经过权限管理系统的拦截处理 之后才能被用户访问,所以权限系统应该处于一个全局的位置, 它应该先于页面被运行,然后一直处于监控状态,一有页面被请 求,就被激活,触发验证和授权事件. 2.2在A中设计权限管理系统 A有一些特定的类,如HttpPage,HttpSession等,专门 收稿日期:2010—10—20.郑芳,助教,主研领域:软件开发中的安 全问题. 146计算机应用与软件2010丘 用来处理Web开发中的各种事务.其中HttpApplication用来 处理和整个应用程序相关的事务,运行时间为:从系统开始启动 到结束.系统在启动的时候,就创建HttpApplication的一个实 例池,每有一个目标页面被请求,就分派一个实例进行处理.所 以,权限管理系统的验证和授权应该放在HttpApplication的事 件中处理. HttpApplication类包含许多事件,如:BeginRequest事件, AuthenticateRequest事件,Au【h0rizeRequest事件等等.其中,Au— thenticateRequest事件用来处理验证,