摘 要: 讨论了服务应用时支持安全的ASP. NET 认证特征,微软的互联网信息服务( IIS) 和ASP.NET 提供了安全模式,使Web 开发者恰当地认证其使用者,并在应用过程中获得正确的安全之本. 三个层次的认证是基于表单的,身份证书和视窗认证. 综述文献仅限于上述三个领域.
关 键 词: 表单; 身份证书; 视窗认证
中图分类号: TP 393108 文献标识码: A 文章编号: 1000 - 1646 (2003) 03 - 0250 - 05
安全是开发人员和应用程序架构师首要关注的问题。由于不同类型的网站有不同的安全需要,开发人员需要知道需要什么程度的安全运行,并为他们的程序选择适当的安全模式。有些网站发布的信息不来自用户,而是通过搜索引擎等广泛渠道来收集。另外一些网站,可能要收集用户的敏感信息,比如信用卡号码,这些网站需要非常严格的安全措施,以避免来自外部的恶意攻击。
1 asp.net安全的基本操作
在ASP . NET应用程序的环境中安全的基本操作涉及三步即验证,授权和模拟。验证的过程中认证用户身份,允许或拒绝请求。这涉及到接受用户凭据(如用户名和密码)和凭证核对。经过身份验证,合法用户对资源的请求将得到满足。接下来一段时间,用户请求资源无需再进行身份验证,直到用户退出这个WEB应用程序。授权是给予用户访问特定资源的资格。模拟的过程,是使应用程序确认用户的身份,从而获得要求的其他资源。基于模拟的身份,请求资源将被授予或者拒绝。
ASP+SQL Server基于Web的电子商城管理系统Net shop Management system 2 ASP.NET的验证
验证是Web应用程序的安全一个重要的特征。在ASP.NET中,验证表现在两个层次上,[2 ]首先, Internet信息服务( IIS )将执行必要的验证,然后把用户请求发送到ASP.NET中,如图1所描述的。ASP.NET应用程序的Web服务器基本是IIS 。因此,每个ASP.NET应用程序可以继续利用IIS所提供的的安全性选项。当用户请求特定资源时,这一要求将发送到IIS 。 IIS验证用户的请求,然后把认证用户发送给ASP.NET工作进程。 ASP.NET工作进程将决定是否模拟验证IIS所提供的用户。如果Web.config文件中的模仿配置是启用的, ASP.NET工作进程将模拟验证使用者。否则, ASP.NET将自行验证用户身份。毕竟, ASP.NET决定用户是否有权访问这些资源。如果他们被允许,ASP. NET提供请求的服务; 否者他将一个“ 拒绝登入”的错误讯息传回给用户。
图1 IIS和ASP.NET的安全流程本文来自优.文,论-文·网原文请找腾讯752018766
ASP.NET通过几种认证机制提供了内置的用户身份验证, [1.4]它们是基于表单的身份验证,应用程序使用自定义身份验证模式的Cookie支持来确保安全;身份证书,应用程序使用微软的身份证书来身份验证,身份证书是微软开发的一个Web单点登录技术,还有视窗验证,Web应用程序使用从集成视窗身份验证中获得的用户名单来验证用户。
也有些应用程序不使用身份验证,或自行开发验证机制。在这种情况下, 可以把ASP. NET中身份验证模式设置为关闭。本文将简要地涉及基于表单的,身份证书和视窗认证。
2.1 基于表单的认证
基于表单的认证验证是用定制逻辑执行来验证用户,运用了Cookie而无需担心Session管理。这使开发人员获得更多的权限去指定哪些文件在网站上可获取和由何人获取,并可以识别的登录页。[3]这一机制将自动重定向未验证用户到登录页,并请他们提供适当的凭据(例如,用户名/密码组合)。如果登录成功,ASP.NET分配cookie给用户,并重定向到他们原先请求的特定资源。此Cookie允许用户反复访问特定资源,而不必重新执行登录机制。显示如下:
上一页 [1] [2] [3] [4] [5]
ASP. NET 中认证安全特征英文论文文献和翻译 第5页下载如图片无法显示或论文不完整,请联系qq752018766
