AS P.NET中身份验证和授权的使用技巧.docVIP

ASP.NET中身份验证和授权的使用技巧 喻翔玮 徐汀荣 [摘要] 开发Web应用程序时，应用程序设计身份验证和授权策略是一项具有挑战性的任务esigning an authentication and authorization strategy for distributed Web applications is a challenging task. This article described four kinds of authentication, especially introduced the detail methods of developing then Form Authentication and authorization. [Key words]Authentication authorization impersonation Encryption 为Web 应用程序设计身份验证和授权机制是一项具有挑战性的任务，必须做出的选择中有许多几乎会对开发的应用程序的每个组件产生影响。采用合适的身份验证和授权设计方案有助于降低许多主要的安全风险。在应用程序开发的早期阶段实现这样的设计比尝试改进现有的或已部分构建的应用程序解决方案来得轻松许多。 身份验证：由以上事件流的图示中可以看出，身份验证是指以下过程：获取标示凭据（如用户名和密码），并对照某一颁发机构（如数据库中存储的用户名和密码）来验证这些凭据。Asp.Net为四种身份验证提供程序：表单身份验证；Windows身份验证；Passport身份验证；默认身份验证。 a、表单身份验证：系统将未经身份验证的请求重定向到一个超文本标记语言（HTML）表单，使用户能在其中输入它们的凭据（如用户名和密码）。在用户提供凭据并提交该表单后，应用程序对请求进行身份验证，然后系统以Cookie的形式发出身份验证票证。此Cookie包含凭据或重新获取标示的密钥。浏览器的后续请求保护此Cookie。 b、Windows身份验证：在windows身份验证中，IIS执行身份验证，并将经过身份验证后的标记传递给ASP.NET工作进程。使用windows身份验证的优点是它需要的编码最少。在将请求传递给ASP.NET之前，可能需要使用windows身份验证来模拟IIS进行验证的windows用户帐户。 c、Passport身份验证：是Microsoft提供的集中式身份验证服务，它为成员站点提供单一登录和核心配置文件服务。通常，当需要跨越多个域的单一登录功能时，将使用Passport身份验证。 d、默认身份验证：当Web应用程序不需要任何安全功能时，将使用默认身份验证；此安全提供程序需要匿名访问。在所有的身份验证提供程序中，默认身份验证为应用程序提供了最高的性能。当使用自定义安区模块时，也可以使用此身份验证提供程序。 3、简单的表单身份验证的开发步骤 将 IIS 配置为使用匿名访问。将 ASP.NET 配置为使用表单身份验证。authentication mode=Formsforms name=SecurityDemo loginUrl=demologin.aspx/forms/authentication 之后只要访问该站点其他页面时，如果未登录，则自动跳回“demologin.aspx”页面。 创建登录 Web 表单并验证提供的凭据。FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(1, // versiontxtUserName.Text, // user nameDateTime.Now, // creationDateTime.Now.AddMinutes(20),// ExpirationPersistentCookie.Checked, // Persistent“User” ); // User data //2.加密票据 string encryptedTicket = FormsAuthentication.Encrypt(authTicket); //3.创建Cookies HttpCookie authCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket); if (PersistentCookie.Checked) //如果用户选择了保存密码 authCookie.Expire= authTicket.Expiration; //设置Cookie有效期 authCookie.Path= FormsAuthentication.FormsCooki