章站点中安全性电子ch07.pptx

2024年8月26日第1页第7章Web站点中的安全性教学目标本章内容

2024年8月26日第2页教学目标ASP.NET验证方式ASP.NET应用程序服务登录控件的使用使用WSAT管理用户和角色以编程方式检查角色

2024年8月26日第3页本章内容7.1安全性概述7.2登录控件7.3ASP.NET网站配置管理7.4本章小结7.5思考和练习

2024年8月26日第4页本章内容7.1安全性概述7.2登录控件7.3ASP.NET网站配置管理7.4本章小结7.5思考和练习

2024年8月26日第5页7.1安全性概述全性是系统设计、实现和管理的一部分，其作用是保证系统可以完全地按照人们想要的方式运行。从另一个角度来说，安全性的作用是防止系统被攻击或恶意破坏。关于安全性ASP.NET验证方式ASP.NET应用程序服务

2024年8月26日第6页关于安全性安全性是一个非常复杂的主题，它通常涉及3个重要的问题：身份：身份就是表示你是谁，对于一个Web站点，用户的身份通常是一个登录名。身份验证(Authentication)：身份验证就是如何证明你所具有的身份，通常以用户名和密码配对来确认用户的身份。还有许多其他身份验证机制，包括高科技的指纹或虹膜扫描、智能卡和令牌等。本章只讨论用户名和密码身份验证方式。授权(Authorization)：授权是值登录成功后，用户被允许执行什么操作。ASP.NET中的这些安全概念是使用应用程序服务(applicationservice)实现的。

2024年8月26日第7页ASP.NET验证方式ASP.NET提供多种方式来处理验证请求和确认用户身份，包括3种。Windows身份验证：Windows身份验证是使用传统“基本”、NTLM/Kerberose和Digest验证方式，它是直接使用Windows域用户权限。窗体基本验证：窗体基本验证方式是使用Web窗体获取用户名和密码后，以FormsAuthentication类或Membership类方法来检查用户身份，可以使用web.config文件、XML文件或数据库来存储会员数据。护照验证：护照验证是Microsoft提供的单一登录服务，如同护照一样，用户只需登录一次，就可以进入任何参与此服务的群组网站。

2024年8月26日第8页authentication标记ASP.NET建立的Web应用程序如果需要使用验证服务，可以在web.config文件的authentication标记(在system.web子标记中)中指定验证方式，authentication标记使用mode属性指定验证方式。

2024年8月26日第9页authorization标记当用户身份经过验证后，就可以授予用户权限。在authorization标记(在system.web子标记中)中指定用户权限，在该标记中可以有0到多个deny和allow子标记：allow标记表示允许存取的资源；deny标记表示不允许存取的资源。users 使用逗号“，”分隔的用户，这些用户允许或不允许存取资源，“？”代表匿名用户，“*”代表所有用户roles 使用逗号“，”分隔的角色，默认为Windows群组名称，属于该角色的用户允许或不允许存取资源verbs 使用逗号“，”分隔的HTTP传输方法，可以有：GET、HEAD、POST和DEBUG

2024年8月26日第10页窗体基本验证ASP.NET窗体基本验证也称Cookie基本验证，因为它是使用Cookie来存储验证记录的。当用户成功登录网站后，以Cookie存储的验证数据就会建立，用户可以拥有权限进入其他需要验证的网页。如果用户尚未登录，就进入一个需要验证的页面，就会自动跳转到登录网页，要求用户首先登录网站。当authentication标记的mode属性为Forms是，就是使用窗体基本验证，其子标记forms可以指定验证的Cookie名称和登录网页的URL地址等相关信息

2024年8月26日第11页ASP.NET应用程序服务（1/2）ASP.NET2.0之前的版本都有某种安全性支持。不过，它们都缺乏ASP.NET2.0和之后的版本中提供的高级控件和概念。在ASP.NET1.x应用程序中，需要编写大量代码来实现可靠的安全策略。而且需要在所有Web站点中重复编写几乎一样的代码。而自从应用程序服务随着ASP.NET2.0一起问世，这些问题就得到了解决。应用程序服务是可以在Web应用程序中用来支持用户、角色和配置文件等的一组服务。

2024年8月26日第12页ASP.NET应用程序服务（2/2）ASP.NET4中仍然大量存在这类服务。其中最重要的是如下几个：成员(Membership)：可以管理和