"验证"与"授权"是对网页资源安全管理的两道门。

验证(Authentication):检查用户是否是合法的用户。就像是网站大门口的保卫,服责验证使用的用户名和密码。

授权(Authorization):检查用户是否有访问某种资源的权限。例如有的人虽然能过了环保局门口保卫的验证,进入环保局,但他可能是一个普通科员,那他就没有局长职责。

验证与授权的底层运作:

首先,打开windows操作系统的“管理工具”->“计算机管理”->“本地用户和组”->“用户”。会看到右侧的窗口中列出了好多的计算机用户,但细心的朋友会发现,你安装完IIS后会多出一个用户“IUSR_***”,这个用户是做什么用的呢?答案是:它是Windows IIS匿名者所使用的授权账号。而“IUSR-***”中的“***”就是您的计算机名。

然后,你再在c:\inetpub\wwwroot(IIS默认的文件夹)文件夹上右击,选择“属性”(NTFS格式),在“组和用户名称”列表中你会看到当前文件夹授权给了“IUSR_***”这个Internet来宾帐户了。这个授权是必须,不要删掉。

最后,在 “Internet信息服务管理器(IIS)”中右击“默认站点”,选择“目录安全性”->“身份验证和访问控制”->“编辑”打开“身份验证对话框”,在“用户名”的文本框中会看到“IUSR_***”这个用户名。

现大家明白了,客户机通过网络来访问你的网站的时候,是借用了“IUSR_***”这个用户来访问你的网站的。而“IUSR_***”这个用户的权限控制是受“NTFS”的ACL进行设置的。所以IIS的身份验证的底层运作的主要控管者是由“NTFS”权限管理系统来实现的。

身份验证:

Asp.net2.0中提供的身份验证模式有三种:

1)      Windows身份验证:通过windows的ACL和IIS配合进行验证的。网站本身没有帐户管理功能,全部委托Windows的安全机制来实现。管理员必须为每一个访问网站的用户分配一个服务器Windows上的账户。这样问题就来了,在Internet环境下你很难让管理员为每一个用户分配一个账号,所以这种验证方式不适用于Internet环境,只适于公司内部的受控环境中。所以在这里我就略去不说了。

2)      Forms身份验证:通过自己的帐户管理系统和IIS配合进行验证,并把验证的身份保存在Cookies中。这种方式适合于Internet环境。

3)      Passport身份验证:此验证方式是通过微软提供的Passport服务进行验证,当然,你需要给微软交不菲的$了。这种验证方式我也就略去不说了。

设置你的网站的验证模式:

1)      依次打开“Internet信息服务管理器(IIS)”-“默认站点”-“属性”-“ASP.NET”-“身份验证”。在“身份验证设置”中的下拉列表中选择你要实现的身份验证方式(这里我们选择Forms)。

2)      将站点开启IIS匿名访问。

3)      创建登录页面(用户名和密码两个文本框和一个登录按钮)

4)      编写“登录”按钮的代码,验证用户名和密码

5)      设置网站登录程序

<authentication mode="Forms">

<forms loginUrl="Users.aspx" name="auth" protection="All" timeout="60" path="/" />

</authentication>

<forms>元素的属性介绍:

name:将来保存Cookie的名称。

loginUrl:网站的登录首面,当未通过身份验证去访问网站某页面时就会被自动转回所指定的页面(Users.aspx)。

protection:Cookie的保存模式,All代表保存时加密,传输中验证。

path:Cookie的保存路径。若path=”/” Cookie保存为administrator@localhost[1].txt,若path=”mygod” Cookie保存为administrator@mygod[1].txt

timeout:Cookie的有效期。单位是分钟

FormsAuthentication类:

RedirectFromLoginPage(string,bool):验证通过后网页转向用户要访问的网页去。

RedirectToLoginPage():将网页转向指定登录页面。

SignOut():移除用户身份验证的信息。

Authenticate(string ,string):对照配置文件中的验证凭据进行验证。返回bool型数据,代表用户是否登录成功。

SetAuthCookie(string,bool):为用户产生一个用户验证票据,并将用户资料记录Cookie。

HashPasswordForStoringInConfigFile(string ,passwordformat):将字符串按照指定的加密方式进行单向加密,返回加密后的字符串。

授权:

Asp.net2.0中的授权分两种:文件授权和URL授权。

文件授权:实际上是通过ACL来进行设置来访用户对网页的访问权限。这种方法对程序开发人员来说太笨拙。这里不多说了。

URL授权:将用户和角色对应至数据库中用户与角色,选择性地允许与拒绝特定用户或角色。

URL授权是由UrlAuthorizationModule来执行的。作为开发者只需要对Web.Config文件进行相关配置就可以了。如:

</system.web>

<authorization>

<deny users="bbb"></deny>

<deny roles="admin"></deny>

</authorization>

</system.web>

这样就可以拒绝bbb用户和所有的角色是admin的用户。

?-匿名用户

*-所有用户

需要说明的一点是,asp.net是按照文件夹进行授权的。要对不同的网页进行不同的授权的话,那你可以把文件分散到不同的文件夹中去,然后在不同的文件夹中建立不同的web.config文件,对该文件夹下的页面进行不同的授权。

(车延禄)

asp.net2.0安全性(3)--验证与授权--转载来自车老师的更多相关文章

  1. asp.net2.0安全性(1)--用户角色篇(起篇)--转载来自车老师

    安全管理的解决方案在.net1.1中几乎为一片空白,对于应用程序的验证与授权大部分的工作是开发人员自己编写代码,或者是借助企业库等工具来实现,此可谓.net1.1中的一大缺憾.在.net2.0中微软为 ...

  2. asp.net2.0安全性(2)--用户个性化设置(1)--转载来自车老师

    在Membership表中可以存储一些用户的基本信息,但有的时候,我们需要记录的用户信息远远不止Membership表中提供的这些,如QQ.MSN.家庭住址.联系电话等等.那如何把这些用户信息记录到数 ...

  3. asp.net2.0安全性(2)--用户个性化设置(2)--转载来自车老师

    上一篇我们用Profile.age等方式可以读取用户的年龄和其它的信息,但有的时候我们要查询显示所有用户的信息,但asp.net没有提供查询所有用户信息的功能,我们只能对现有的用户逐一查询其Profi ...

  4. asp.net2.0安全性(1)--用户角色篇(类)--转载来自车老师

    Membership.MembershipUser和Roles类 用户与角色管理在asp.net2.0中是通过Membership和Roles两个类来实现的. Membership:用户成员账号管理, ...

  5. asp.net2.0安全性(4)--Login系列控件--转载来自车老师

    前面主要说了与安全相关的一系列的类,现在我们使用这些类就可以做出我们自己的安全系统了.其实微软的目的远不至于此,下面我们就来看一下微软为我们提供的Login系列控件. Login系列控件是微软为了简化 ...

  6. asp.net2.0安全性(1)--用户角色篇(代码实现1)--转载来自车老师

    创建用户: MembershipCreateStatus mc; Membership.CreateUser(txtUid.Text, txtPwd.Text, txtEmail.Text, txtQ ...

  7. asp.net2.0安全性(1)--用户角色篇(代码实现2)--转载来自车老师

    加载所有用户 MembershipUserCollection user = Membership.GetAllUsers(); listUser.DataSource = user; listUse ...

  8. 【IHttpHandler】在ASP.Net2.0中使用UrlRewritingNet实现链接重写

    很多时候我们需要链接转向(Url Rewriting),例如二级域名转向.文章访问链接等场合. 让我们看两个例子: 1 你现在看到的当前作者的博客园的域名: http://jx270.cnblogs. ...

  9. Asp.Net2.0下C#环境 Login控件实现用户登录

    原文:Asp.Net2.0下C#环境 Login控件实现用户登录 一.前台显示效果 二.前台代码             <asp:Login ID="Login1" run ...

随机推荐

  1. Python基础 3----文件和网络

    1 Python文件IO 1 标转的输入和输出 print 方法:输出数据到标准的输出 raw_input 方法:标准的输入 2 file文件类 读文件 f = file(文件名, 模式) 有5种模式 ...

  2. 用typedef声明类型

    定义: 可以用typedef声明一个新的类型名来代替已有的类型名. 用法: typedef int INTEGER;//指定用标识符INTEGER代表int类型 typedef float REAL; ...

  3. ceph之Placement Group

    预定义PG_NUM 新建一个存储池命令:ceph osd pool set {pool-name}  pg_num 选择一个pg_num的值是强制性的,这是因为该值不能被自动计算出来,以下是一些常用值 ...

  4. 完整的RecylerView的使用方法和例子

       一.RecylerView的特点 1. 不关心Item是否显示在正确的位置,通过设置不同LayoutManager 的实例让Item显示不同的风格. 2. 不关心 Item间如何分离.要定义It ...

  5. G - 小希的迷宫(并查集)

    1今天准备复习三道以前做过的题呢,结果只看了一道,也因为交题的时候没把测试时候为了方便而改的数字改过来而wrong answer,浪费了好长时间,啊啊啊~~ 不过这道题应该是掌握了,嘿嘿…… Desc ...

  6. 2080夹角有多大II

    寻人启事:2014级新生看过来! 夹角有多大II Time Limit: 1000/1000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Ot ...

  7. Ubuntu14.04 Y460闪屏问题解决方案

    我的笔记本是联想Y460,安装了Ubuntu之后发现屏幕闪烁移位,而且在使用IDE的时候出现无法输入中文等问题,其实是显卡驱动的问题,N卡官网给的驱动不好用,尝试使用大黄蜂 参考:https://wi ...

  8. Error creating bean with name 'org.springframework.validation.beanvalidation.LocalValidatorFactory

    Error creating bean with name ‘org.springframework.validation.beanvalidation.LocalValidatorFactoryBe ...

  9. python测试框架总结

    最流行的有unittest和nose 其他的请看http://wiki.python.org/moin/PythonTes... 中Unit Testing Tools部分 py.test unitt ...

  10. 基于visual Studio2013解决C语言竞赛题之0507筛选素数

     题目