asp.net2.0安全性(3)－－验证与授权--转载来自车老师

"验证"与"授权"是对网页资源安全管理的两道门。

验证（Authentication）：检查用户是否是合法的用户。就像是网站大门口的保卫，服责验证使用的用户名和密码。

授权（Authorization）：检查用户是否有访问某种资源的权限。例如有的人虽然能过了环保局门口保卫的验证，进入环保局，但他可能是一个普通科员，那他就没有局长职责。

验证与授权的底层运作：

首先，打开windows操作系统的“管理工具”->“计算机管理”->“本地用户和组”->“用户”。会看到右侧的窗口中列出了好多的计算机用户，但细心的朋友会发现，你安装完IIS后会多出一个用户“IUSR_***”，这个用户是做什么用的呢？答案是：它是Windows IIS匿名者所使用的授权账号。而“IUSR-***”中的“***”就是您的计算机名。

然后，你再在c:\inetpub\wwwroot（IIS默认的文件夹）文件夹上右击，选择“属性”（NTFS格式），在“组和用户名称”列表中你会看到当前文件夹授权给了“IUSR_***”这个Internet来宾帐户了。这个授权是必须，不要删掉。

最后，在 “Internet信息服务管理器（IIS）”中右击“默认站点”，选择“目录安全性”->“身份验证和访问控制”->“编辑”打开“身份验证对话框”，在“用户名”的文本框中会看到“IUSR_***”这个用户名。

现大家明白了，客户机通过网络来访问你的网站的时候，是借用了“IUSR_***”这个用户来访问你的网站的。而“IUSR_***”这个用户的权限控制是受“NTFS”的ACL进行设置的。所以IIS的身份验证的底层运作的主要控管者是由“NTFS”权限管理系统来实现的。

身份验证：

Asp.net2.0中提供的身份验证模式有三种：

1)      Windows身份验证：通过windows的ACL和IIS配合进行验证的。网站本身没有帐户管理功能，全部委托Windows的安全机制来实现。管理员必须为每一个访问网站的用户分配一个服务器Windows上的账户。这样问题就来了，在Internet环境下你很难让管理员为每一个用户分配一个账号，所以这种验证方式不适用于Internet环境，只适于公司内部的受控环境中。所以在这里我就略去不说了。

2)      Forms身份验证：通过自己的帐户管理系统和IIS配合进行验证，并把验证的身份保存在Cookies中。这种方式适合于Internet环境。

3)      Passport身份验证：此验证方式是通过微软提供的Passport服务进行验证，当然，你需要给微软交不菲的＄了。这种验证方式我也就略去不说了。

设置你的网站的验证模式：

1)      依次打开“Internet信息服务管理器（IIS）”－“默认站点”－“属性”－“ASP.NET”－“身份验证”。在“身份验证设置”中的下拉列表中选择你要实现的身份验证方式（这里我们选择Forms）。

2)      将站点开启IIS匿名访问。

3)      创建登录页面（用户名和密码两个文本框和一个登录按钮）

4)      编写“登录”按钮的代码，验证用户名和密码

5)      设置网站登录程序

<authentication mode="Forms">

<forms loginUrl="Users.aspx" name="auth" protection="All" timeout="60" path="/" />

</authentication>

<forms>元素的属性介绍：

name：将来保存Cookie的名称。

loginUrl：网站的登录首面，当未通过身份验证去访问网站某页面时就会被自动转回所指定的页面（Users.aspx）。

protection：Cookie的保存模式，All代表保存时加密，传输中验证。

path：Cookie的保存路径。若path=”/” Cookie保存为administrator@localhost[1].txt，若path=”mygod” Cookie保存为administrator@mygod[1].txt

timeout：Cookie的有效期。单位是分钟

FormsAuthentication类：

RedirectFromLoginPage(string,bool)：验证通过后网页转向用户要访问的网页去。

RedirectToLoginPage()：将网页转向指定登录页面。

SignOut()：移除用户身份验证的信息。

Authenticate(string ,string)：对照配置文件中的验证凭据进行验证。返回bool型数据，代表用户是否登录成功。

SetAuthCookie(string,bool)：为用户产生一个用户验证票据，并将用户资料记录Cookie。

HashPasswordForStoringInConfigFile(string ,passwordformat)：将字符串按照指定的加密方式进行单向加密，返回加密后的字符串。

授权：

Asp.net2.0中的授权分两种：文件授权和URL授权。

文件授权：实际上是通过ACL来进行设置来访用户对网页的访问权限。这种方法对程序开发人员来说太笨拙。这里不多说了。

URL授权：将用户和角色对应至数据库中用户与角色，选择性地允许与拒绝特定用户或角色。

URL授权是由UrlAuthorizationModule来执行的。作为开发者只需要对Web.Config文件进行相关配置就可以了。如：

</system.web>

<authorization>

<deny users="bbb"></deny>

<deny roles="admin"></deny>

</authorization>

</system.web>

这样就可以拒绝bbb用户和所有的角色是admin的用户。

?－匿名用户

*－所有用户

需要说明的一点是，asp.net是按照文件夹进行授权的。要对不同的网页进行不同的授权的话，那你可以把文件分散到不同的文件夹中去，然后在不同的文件夹中建立不同的web.config文件，对该文件夹下的页面进行不同的授权。

(车延禄)