ASP.NETWeb应用的安全性.ppt

DEV337 ASP NETWeb应用的安全性 日程 概述验证 Authentication 授权 Authorization 基于角色的安全性管理和规划安全的策略 安全服务 ASP NET支持验证和授权可扩展和定制透明的认证方案简单的部署模型支持可声明的和强制性的授权支持应用级的安全性 进程标识 Windows 2000 默认是ASPNET 本地账号 可以按照System或者由设置的账号Windows NETServer使用IIS6进程模型默认是NetworkService可配置应用池 标识好也可配置 请求标识 模拟 Impersonation 按照请求标识的安全设置运行可在ASP NET中配置可以设置为与ASP兼容 检查线程标识 DimcurrAsWindowsIdentitycurr WindowsIdentity GetCurrent threadacctnameisincurr Name tokenincurr Token astypeIntPtr 配置标识 demo ConfigurationLockdown 通过配置文件进行管理控制用来设置安全策略或者限制应用程序行为 ConfigurationLockdown demo ASP NET请求的处理过程 NativeCode NETCode Application Host IIS ASP NETPage ASP NETRuntime ASP NETService HTTPHandler HTTPModule Global asax HTTPModule HttpContext 每个请求事件 BeginRequestAuthenticateRequestAuthorizeRequestResolveRequestCacheAcquireRequestStatePreRequestHandlerExecutePostRequestHandlerExecuteReleaseRequestStateUpdateRequestCacheEndRequest 日程 概述验证 Authentication 授权 Authorization 基于角色的安全性管理和规划安全的策略 验证 ASP NET实际上是ISAPI扩展仅仅处理可以识别的内容Windows验证 通过IIS 基本 摘要 NTLM Kerberos 认证支持充分利用了平台的验证方式基于表单 Cookie 的验证应用程序的安全性验证支持Microsoft Passport验证方式定制的验证方式 MicrosoftPassport 在成员站点中间 只需要一次登陆集成到了ASP NET验证方式需要安装PassportSDKASP NET处理 IPassportManager IPassportManager2 IPassportCrypt接口详细信息IIS6直接支持Passport 基于表单的验证 容易实现ASP NET提供了重定向步骤配置IIS允许匿名用户 默认方式 使用SSL 配置ASP NETcookie验证编写你自己的登陆页面 表单验证的工作方式 WebBrowser IIS ASP NET 配置表单验证 配置表单验证 部分配置不同的键值来区分不同的应用必须在Webfarms之间同步 基于表单验证 demo 定制的Web验证 处理AuthenticateRequest事件应用程序级别 global asax 或者HttpModule implementIHttpModule 适用于 定制SOAP验证例如 应用程序根据SOAP信头定义Schema对不支持cookies的移动设备设置表单验证方式定制其他的验证方式 日程 概述验证 Authentication 授权 Authorization 基于角色的安全性管理和规划安全的策略 授权的策略 Windows安全和ACLsWindows验证需要检查ACLs独立的模拟 Impersonate 模式COM 角色URL授权定制授权Windows NETAuthZ框架明确的强制的 可声明的检查 使用URL授权 示例 允许 Admins 或者 WebServiceUsers 然后拒绝所有其他用户示例 拒绝匿名用户 使用授权 demo 定制Web授权 处理AuthorizeRequest事件应用程序级 global asax 或者HttpModule 实现IHttpModule 适用于 实现按照请求计算的记账系统根据商业规则 限制访问根据动态行为 例如 按天计算的访问限制等 限制访问 定制授权 demo 日程 概述验证 Authentication授权 Authorization 基于角色的安全性管理和规划安全的策略 使用定制的角色 应用程序定义角色策略 定义Windows AD组并且使用WindowsPrincipal使用GenericPrincipal或者IPrincipal System Security Principal IPrincipalpublicinterfaceIPrincipal IIdentity get boolIsInRole stringrole Web应用 定制角色 处理验证事件将HttpContext User代替为定制的IPrincipal或者GenericPrincipal publicvoidWindowsAuthentication OnAuthenticate Objectsrc WindowsAuthenticationEvente replaceHttpContextPrincipale Context User newMyPrincipal e Identity 基于角色的安全性 demo 日程 概述验证 Authentication授权 Authorization 基于角色的安全性管理和规划安全的策略 管理和规划安全的策略 可能的话 尽量不用需要加密的东西例如使用集成的验证方式LayerprotectionstrategiesCombineminimalACLswithDPAPI CryptProtectData CryptUnprotectData 从ServicedComponent继承的类使用COM 企业服务来运行有固定标识的代码实现IConfigurationSectionHandler以在配置文件中存储需要加密的信息 在Web应用中保存秘密信息 demo 如果您有任何问题 请加入微软中文新闻组继续讨论 加入微软中文新闻组 2002