1、第13章 安全性、成員和角色管理,鄭州信息科技職業(yè)學(xué)院 張中興,本章內(nèi)容,ASP.NET安全性簡介 表單驗證 成員 角色管理 登錄控件,13.1 ASP.NET安全性簡介,安全性目的：控制資源的可訪問性。 特點：多層次實現(xiàn)。ASP.NET與.NET Framework、IIS及Windows協(xié)同工作，共同完成安全性保護。 兩種基本保護方法： 成員資格：即身份驗證，驗證和管理 Web 應(yīng)用程序的用戶信息。 角色管理：即授權(quán)，根據(jù)身份進行相應(yīng)的操作。授權(quán)的基本方式是基于角色。角色就是將許多任務(wù)劃分為不同的任務(wù)組，從而設(shè)定角色所能完成的任務(wù)。,客戶端發(fā)出請求,IIS 接受一個請求,是否允許用戶的IP

2、訪問,是否允許匿名訪問,在IUSERComputername 賬戶下運行,IIS驗證,Windows驗證用 戶是否通過,ASP.NET執(zhí)行相關(guān)的安全檢查用戶是否通過,Windows驗證,Form驗證,Passport驗證,返回用戶請求的頁面,否,否,否,是,13.1.1 IIS安全概覽,IIS是安全檢查的第一層次。,Request,IIS驗證有很多方式： 基本驗證：用戶名和密碼在http中傳輸，未加密。 摘要驗證：使用套接字，可以實現(xiàn)信息加密。 基于證書驗證：需要購買證書。 集成Windows驗證：內(nèi)部局域網(wǎng)使用。,13.1.2 ASP.NET驗證性過程,ASP.NET 為在單個 Web 服務(wù)

3、器上作為多個應(yīng)用程序的宿主提供了極佳的環(huán)境。 ASP.NET應(yīng)用程序必須以一個指定的帳戶身份訪問服務(wù)器資源。默認(rèn)情況下，在安裝有IIS和ASP.NET的計算機系統(tǒng)中會有一個默認(rèn)的帳戶，其賬戶名為ASPNET。打開控制面板-管理工具-計算機管理，在其中的本地用戶和組中可以看到一個ASPNET帳戶。 用戶也可以設(shè)置一些特殊任務(wù)的帳戶供ASP.NET程序使用。在使用時需要在web.config中配置。例如： 說明：該帳戶是針對所有ASP.NET訪問者的，一般情況下還不足以對用戶進行分類控制。,13.1.3 代碼訪問安全和ASP.NET信任級別,除了用戶確認(rèn)之外，每個應(yīng)用程序需要進行一些安全地配置作為

4、 ASP.NET 應(yīng)用程序的宿主的服務(wù)器的信任級別和策略設(shè)置。信任級別有四種： Full：可進行任何操作，所有的.NET代碼都允許執(zhí)行，任何.NET類都可以使用。默認(rèn)級別。 High：代碼可以使用.NET框架的大部分。 Medium：目錄限制 Low：只讀 Minimal：沒有和資源交互的能力 信任級別使用web.config文件中的trust元素設(shè)置： . 說明：信任級別都定義在策略文件中，可以根據(jù)需要修改。在管理工具中可以看到本地安全策略設(shè)置。,13.1.4 ASP.NET驗證,IIS驗證以后，會將請求和一個安全性標(biāo)記傳遞給ASP.NET運行時，再由ASP.NET進行驗證。 ASP.NET

5、支持多種驗證模式，在web.config中進行設(shè)置。如: 驗證模式包括： None:不驗證。 Windows:網(wǎng)絡(luò)內(nèi)部使用，IIS會先經(jīng)過驗證，如果通過，則會把安全性標(biāo)記傳遞給ASP.NET。 Passport:使用Passport驗證服務(wù)器進行驗證。 Form:表單驗證。一般提供登錄頁面，根據(jù)驗證結(jié)果確定重定向頁面。,13.2 表單驗證,一般的網(wǎng)站都會定義一個登錄的表單，接收用戶輸入的驗證信息，一般包括用戶名和密碼，當(dāng)經(jīng)驗證合法的用戶可以操作系統(tǒng)的資源(訪問一些頁面)。否則的話，訪問任何頁面都會重定向到登錄表單頁面。 可在Web.config中設(shè)置驗證的表單。 此處定義了驗證的表單為Logi

6、n.aspx。無論訪問網(wǎng)站的哪個頁面，系統(tǒng)都會先重定向到該頁面。 注意單詞“authentication”表示驗證，“authorization”表示授權(quán)，此處的含義是拒絕所有未經(jīng)驗證用戶訪問站點資源。,13.2.2 創(chuàng)建一個登錄表單,ASP.NET 2.0支持一種窗體身份驗證，其處理由FormsAuthenticationModule類實現(xiàn)，該類是一個參與常規(guī)ASP.NET頁處理循環(huán)的HTTP模塊。窗體驗證的步驟如下： 用戶請求一個需要通過身份驗證才有權(quán)限訪問頁面； 如果窗體驗證處理模塊檢測到該用戶擁有訪問當(dāng)前頁面的權(quán)限，則停止校驗，并繼續(xù)用戶的訪問，否則轉(zhuǎn)到步驟3； 用戶的訪問被重定向到一

7、個配置好的登錄頁。該登錄頁提示用戶需要登錄（通常是輸入用戶名和密碼）。然后，將輸入的登錄信息傳遞給服務(wù)器并針對用戶應(yīng)存儲的信息（如SQL Server數(shù)據(jù)庫）進行驗證； 對用戶的輸入信息進行身份驗證后，將重定向到用戶原來請求的頁面。 要使用窗體身份驗證，需要在Web.Config文件中配置相關(guān)啟用身份驗證信息。,下面是一個登錄頁面，命名為login.aspx,protected void bt_login_Click(object sender, EventArgs e) string user = txtUser.Text; string password = txtPassword.Tex

8、t; if (IsValidUser(user, password) FormsAuthentication.RedirectFromLoginPage(user, true); else labError.Text = 查無此用戶!; private bool IsValidUser(string user,string password) if (user =zzx ,下面是Default.aspx頁面的程序： protected void Page_Load(object sender, EventArgs e) Label1.Text = User.Identity.Name; protected void Button1_Cl