ASPNET简明教程 第10章 ASPNET的安全性课件.ppt

《ASPNET简明教程 第10章 ASPNET的安全性课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第10章ASP.NET的安全性什么是安全性安全性的类型如何实现身份验证和授权什么是安全性安全性安全性是对用户的身份进行验证并对通过验证的用户按照为其授予的访问权限来确定用户是否可以访问某种资源的一个过程对于应用程序来说，它的安全性涉及身份验证授权用户模仿数据或者功能的安全性身份验证和授权Windows提供的身份验证和授权IIS提供的身份验证和授权ASP.NET提供的身份验证Windows提供的身份验证和授权Windows2000通过使用用户列表来允许访问计算机中的资源。Windows2000对每个资源都建立一个ACLIIS提供的身份验证和授权II

2、S可以提供的验证有三种IP地址及域名限制启用证书验证用户身份规定验证方法。IP地址及域名限制在Windows2000Server中，允许限定客户机的IP地址或者域名对于特定的IP地址或者域名，可以允许访问(GrantAccess)或者禁止访问(DeniedAccess)。所有的这些设置都是在IIS的MMC中设置完成的。启用证书验证用户身份可以使用“默认Web站点属性”中的“目录安全性”选项卡的安全通信功能建立服务器证书。这个证书可以用于站点或者站点中的某个目录。这些证书可以与客户机证书一起使用，用于识别访问服务器的机器的身份。规定验证方法使用“默

3、认Web站点属性”中对话框的“目录安全”选项卡的匿名访问和验证控制功能可以规定验证方法。匿名访问基本验证Windows域服务器的简要验证集成Windows验证方法ASP.NET提供的身份验证ASP.NET提供了一系列不同的选项用于进行用户身份的验证。验证的类型写在web.config文件中的元素的mode属性中。ASP.NET提供4种验证方式Windows内置验证基于Passport的验证基于Forms的验证IIS验证。Windows内置验证所谓Windows内置验证就是IIS提供的验证方法。IIS提供的验证方法有

4、基本验证集成的Windows验证简要验证基本验证基本验证是建立在虚拟目录基础上的在“目录安全性”选项卡中选择基本验证方式例子集成的Windows验证基本验证是建立在虚拟目录基础上的在“目录安全性”选项卡中选择集成的Windows验证方式基于Passport的验证使用多个服务器来保证用户得到快捷方便的服务的情况下使用Windows内置验证方式不方便因为Windows内置验证方式所采用的各种方法都是使用Windows内部的账号进行验证和授权的，这样，不同的服务器就必须有相同的账号才能够保证一个用户在不同的服务器上登录都能够成功，导致采用多服务器系统的

5、网站遇到困难。为了解决这个问题，可以采用基于Passport的验证方式。例子基于表单的验证基于表单的验证是建立在Cookie基础上的。当用户通过了基于表单的验证之后，在客户端会保存一个Cookie。在用户发送HTTP请求的同时，这个Cookie会随之发送给服务器保证身份验证有效。如果这个Cookie是临时的，在会话结束之后就销毁这个Cookie，那么下次登录网站的时候还需要进行用户身份的验证；如果这个Cookie是长期的，那么在这个Cookie过期之前，用户登录这个网站都不需要进行额外的身份验证。基于表单验证的web.config文件未授权的用户

6、使用的登录程序通过验证之后会执行的default.aspx程序求散列加密字符串的结果保存了加密的用户密码的web.config文件SSL加密方法简介SSLSSL是安全套接字。它使用复杂的加密方法(例如SHA1或者MD5)对发送的信息进行加密，对收到的信息进行解密。对于前面提到的身份验证的基本验证方法，用户名和密码都是采用明文的方式进行传送的，这样也会导致信息的泄漏。如果把基本验证方法和SSL结合起来，可以实现一种相对安全的验证解决方案