web应用程序设计第10章.pptx

第10章 Web应用的安全性,Web应用安全性概述 ASP.NET的身份验证与授权 ASP.NET的成员资格技术 基于角色安全性与数据访问安全性,一、Web应用安全性概述,Web应用的安全性问题 解决Web应用安全问题的方法 IIS的身份验证与安全,1、Web应用的安全性问题,攻击者的非法攻击 内部攻击者：内部员工、病毒（包括木马和蠕虫） 外部攻击者：电脑黑客或破解者 常见类型攻击 技术型：拒绝服务攻击、计算机自动攻击、病毒、蠕虫、木马、安全漏洞 非技术型：社交工程,2、解决Web应用安全问题的方法,安全威胁的分类（STRIDE模型） Spoofing（身份欺骗） Tampering（篡改数据） Repudiation（否认） Information Disclosure（信息泄漏） Denial of Service（拒绝服务） Elevation of Privilege（特权升级）,2、解决Web应用安全问题的方法,安全技术 身份验证 授权 审核：日志支持 保密：加密技术 完整性 认可,3、IIS的身份验证与安全,IIS的身份验证管理 匿名访问：以Internet来宾用户（IUSER_计算机名）访问 集成Windows身份验证：企业内部网使用 基本身份验证：明文传送用户名/密码，安全性低 摘要式身份验证：MD5协议传送加密的用户名/密码 IIS的授权管理 访问权限：包括读取、写入、目录浏览、脚本资源访问、记录访问和索引资源等； 执行权限：可精确地控制程序和脚本的运行,二、ASP.NET的身份验证与授权,ASP.NET的身份验证和授权概述 ASP.NET的身份验证与授权的配置 ASP.NET的表单身份验证,1、 ASP.NET的身份验证和授权概述,ASP.NET的身份验证 ASP.NET的授权机制,A、ASP.NET的身份验证,（1）Windows身份验证 直接利用Windows系统的用户管理功能达到身份验证，是最快的身份验证模式。 它适合Intranet、适合于Web应用程序的后台业务管理。 （2）Forms身份验证 它通过登录页面实现身份验证。适合于Internet用户。 （3）Passport身份验证 它由.Net Passport服务来验证用户身份，通过验证后返回验证凭据。 适合于多个站点的一次性登录管理。 最慢的身份验证方法,BASP.NET的授权机制,（1）文件授权 内置文件授权模块（即FileAuthorizationModule），通过检查Web资源的访问控制列表 (ACL) ，以确定用户是否具有访问该资源的权限。 只能用于Windows身份验证。 （2）URL授权 内置URL授权模块 （即UrlAuthorizationModule）执行授权，检查远程用户或角色是否具有访问特定URL资源的权限。 适用于Forms身份验证,2、 ASP.NET的身份验证与授权的配置,ASP.NET身份验证的配置 ASP.NET授权的配置,A ASP.NET身份验证的配置,在配置文件Web.config中： mode: Windows/Forms/Passport/None,BASP.NET授权的配置,在配置文件中使用元素进行允许或拒绝访问的设置 或元素的属性： users用来指定用户，roles用来指定角色 指定用户或角色时可使用通配符： *：在或中表示允许或拒绝任何人访问 ?：在中允许匿名用户访问，在中表示拒绝未授权的用户访问 注意：授权时，可针对应用程序级授权，也可以针对页面级授权。其中，后者使用元素配置。 例 P235,三、ASP.NET的表单身份验证,表单身份验证的工作机制 启用表单身份验证 为表单身份验证自定义验证逻辑,1表单身份验证的工作机制,使用表单身份验证时，首先显示登录页面。提交用户名和密码后，ASP.NET执行表单验证模块并创建表单验证对象来管理身份验证。 表单验证对象（FormsAuthentication）的常用方法： Authenticate()：将账户信息与配置文件中的账户信息进行比对 RedirectFromLoginPage() | RedirectToLoginPage() SignOut()：退出登录状态并删除验证凭据。 ASP.NET允许自定义程序逻辑，将用户名和密码与位于数据库、活动目录或注册表中的账户信息进行比较。通过验证时，验证凭据以Cookie或QueryString的形式返给客户端，当再次请求访问时将自动被提交给服务器。若验证凭据失效或丢失，则需要重新登录。,2启用表单身份验证,例： ,3为表单身份验证自定义验证逻辑,例10-1 步骤： 1：准备工作（包括建数据库和存储过程） 2：修改配置文件，启用表单身份验证，同时拒绝匿名访问 3：新建类文件Users.cs，定义Validate（）方法以实现用户身份验证 4：设计登录页Login.aspx，调用Validate方法，实现用户的登录验证。 5：测试,三、ASP.NET的成员资格技术,ASP.NET成员资格概述 ASP.NET成员资格的配置 ASP.NET登录控件的使用,1、 ASP.NET成员资格概述,ASP.NET成员资格的功能 成员资格的架构 Membership类的成员,AASP.NET成员资格的功能,可以创建新用户和密码 自动管理成员资格信息（包括用户名、密码等）。 与表单身份验证集成，以零编程方式开发身份验证系统。 提供密码管理功能，包括创建、更改和重置密码。 经验证的用户标识，可以与 ASP.NET 个性化设置和角色管理（授权）系统集成应用。 允许自定义成员资格提供程序，自我管理和维护成员资格数据。 注意，默认的成员资格数据存储在SQL Server Express的ASPNETDB.MDF数据库中。使用aspnet_regsql.exe可恢复或重新安装于SQL Server 2005之中。,B成员资格的架构,CMembership类的成员,Membership 类用于验证用户凭据并管理用户设置（如密码和电子邮件地址）。 Membership 类可以独立使用或与 FormsAuthentication类一起使用以创建一个完整的 Web网站的用户身份验证系统。 常见属性/方法,2 ASP.NET成员资格的配置,使用成员资格的步骤： S1：配置身份验证和授权，要求启用Forms身份验证并指定哪些页或文件夹受到保护； S2：根据需要在配置文件中指定要使用的成员资格提供程序并设置相关选项； S3：为成员资格定义用户账户，可使用成员资格控件来设计诸如新用户注册、登录、修改密码等页面，以最终实现用户管理。 成员资格的配置 例10-2,3 ASP.NET登录控件的使用,CreateUserWizard控件 Login控件 LoginView控件 LoginStatus控件 LoginName控件 ChangePassword控件 PasswordRecovery控件,四、基于角色安全性与数据访问安全性,基于角色安全性概述 ASP.NET的角色管理与配置 数据访问安全性,1 基于角色安全性概述,角色 角色是一群具有相同的访问权限的用户的总称。 使用角色来管理授权的好处： (1)角色只考虑用户所执行的相同操作； (2)当用户可能有多个角色时，仍然以角色为单位定义访问权限，那些具有多个角色的用户将通过自动组合各角色访问权限而授予； (3)使用角色可以灵活地更改特权、添加和删除用户。,ASP.NET的角色管理机制 (1)Roles类：用于角色的常规管理功能，包含CreateRole、AddUsersToRoles、IsUserInRole、GetUsersInRole、RemoveUserFromRole、DeleteCookie等。 (2)RoleProvider类：为可供角色管理服务使用的数据提供程序定义功能。 (3)RolePrincipal类：提供了存储当前用户的角色信息以及从 Cookie 或数据库中管理角色信息的检索功能。 (4)RoleManagerModule类：用于向Page.User 属性中添加角色信息，能够自动创建 RolePrincipal对象并将其附加到当前上下文中。该类拥有一个GetRoles 事件，该事件允许向当前用户上下文中自定义添加角色的程序逻辑,2 ASP.NET的角色管理