快捷導(dǎo)航

淺析ASP.NET安全性分析(加強(qiáng)asp.net 1.1/2.0安全性)

更新時(shí)間：2012年11月10日 11:46:19 作者：

本文介紹ASP.NET安全性是Web 應(yīng)用程序中一個(gè)非常重要的方面,它涉及內(nèi)容非常廣泛，以及介紹講述如何利用IIS以及Forms 身份驗(yàn)證構(gòu)建安全的

ASP.NET安全性是Web 應(yīng)用程序中一個(gè)非常重要的方面,它涉及內(nèi)容非常廣泛,不能在一篇文章內(nèi)說明所有的安全規(guī)范,本文講述如何利用IIS以及Forms 身份驗(yàn)證構(gòu)建安全的 ASP.NET 應(yīng)用程序,它是目前被使用最多最廣的驗(yàn)證／授權(quán)方式.

本文分別以ASP.NET1.1與ASP.NET2.0在Forms 身份驗(yàn)證上的實(shí)現(xiàn)方法,以及ASP.NET2.0較上一版本有哪些改進(jìn)或變化進(jìn)行說明.相信讀者都己經(jīng)看過許多類似這樣的文章,不倫是在網(wǎng)上或是某些專業(yè)書籍上,最近又有模式&實(shí)踐小組成員發(fā)布WCF安全模型指南,可見構(gòu)建網(wǎng)站安全總是不過時(shí)的話題,作者認(rèn)為此文也絕對(duì)是您應(yīng)該收藏的參考資料.

ASP.NET安全性的工作原理

網(wǎng)站在安全性方面有一個(gè)常見的要求：特定的頁面僅允許某些成員或其他經(jīng)過身份驗(yàn)證的用戶瀏覽.充分利用Forms身份驗(yàn)證是最好的方式.

身份驗(yàn)證

從實(shí)現(xiàn)機(jī)制來說ASP.NET1.1與ASP.NET2.0 的安全模型是一致的.首先配置網(wǎng)站為Forms 身份驗(yàn)證模式,之后用戶訪問網(wǎng)站的URL,Forms 身份驗(yàn)證系統(tǒng)會(huì)將未經(jīng)身份驗(yàn)證的請(qǐng)求重定向到指定的登錄頁.用戶輸入憑據(jù)（用戶名密碼）并提交該頁.如果驗(yàn)證程序驗(yàn)證用戶的身份合法,則系統(tǒng)會(huì)向客戶端發(fā)出一個(gè)特定 Cookie（.NET1.1不支持無Cookie模式）,它代表用戶的身份驗(yàn)證票據(jù).這樣后續(xù)的請(qǐng)求中,客戶端瀏覽器會(huì)把該Cookie一同發(fā)送致服務(wù)器,如果該Cookie有效則用戶通過身份驗(yàn)證并允許對(duì)原始請(qǐng)求的資源的訪問.

授權(quán)

如果用戶的請(qǐng)求被驗(yàn)證通過了,但是他請(qǐng)求的URL是否允許用戶訪問了呢,這就用到了授權(quán).可以通過應(yīng)用程序配置文件來進(jìn)行授友也可以在程序中使用代碼來驗(yàn)證用戶是否有資格訪問該資源.如果授權(quán)失敗,則 ASP.NET 將用戶重定向到登錄頁.如果用戶已被授權(quán),則將允許用戶訪問受保護(hù)資源.

ASP.NET1.1實(shí)現(xiàn)方式

ASP.NET1.1的實(shí)現(xiàn)方式非常簡單,不過我們還是需要手寫一些代碼的,下面我們就一步一步地實(shí)現(xiàn).應(yīng)用程序配置節(jié)的詳細(xì)說明請(qǐng)參考MSDN相關(guān)文檔.

復(fù)制代碼代碼如下:

 
<configuration> 
<system.web> 
<authenticationmodeauthenticationmode="Forms"> 
<formsnameformsname=".ASPXCOOKIEAUTH"loginUrl= 
"Login.aspx"protection="All"timeout="30"path="/"/> 
authentication> 
<authorization> 
<denyusersdenyusers="?"/> 
authorization> 
system.web> 
<locationpathlocationpath="Admin"> 
<system.web> 
<authorization> 
<allowrolesallowroles="Admins"/> 
<denyusersdenyusers="*"/> 
authorization> 
system.web> 
location> 
configuration> 

IDC加強(qiáng)asp.net 1.1/2.0安全性一篇技巧

ASP.NET 1.1：

打開 C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CONFIG\machine.config

設(shè)置：
< location allowOverride="false">
< identity impersonate="true" userName="" password=""/>

ASP.NET 2.0 以上：
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config

設(shè)置：
< identity impersonate="true"/>

如果沒有此兩項(xiàng)，分別進(jìn)行增加：

< location allowOverride="true"> 改為：< location allowOverride="false">
< system.web>
< securityPolicy>
< trustLevel name="Full" policyFile="internal"/>
< trustLevel name="High" policyFile="web_hightrust.config"/>
< trustLevel name="Medium" policyFile="web_mediumtrust.config"/>
< trustLevel name="Low" policyFile="web_lowtrust.config"/>
< trustLevel name="Minimal" policyFile="web_minimaltrust.config"/>
< /securityPolicy>
< trust level="Full" originUrl=""/>
< identity impersonate="true"/> < !-- 這里增加 -->
< /system.web>
< /location>

您可能感興趣的文章: