从入门到精通第21章安全策略

1、安全策略本讲大纲：1、验 证支持网站： 2、授 权验 证1、Windows验证2、Forms验证3、Passport验证1基本身份验证基本身份验证要求用户以用户名和密码的形式提供证书以证明其标识，它是基于RFC 2617提出的Internet标准。Netscape Navigator和Microsoft Internet Explorer都支持基本身份验证。用户证书以不加密的Base64编码格式从浏览器传送到Web服务器。由于Web服务器得到的用户证书是不加密格式，因此Web服务器可以使用用户证书发出远程调用。进行基本身份验证的流程如下：（1）客户向服务器请求被限制的资源。（2）Web服务器以

2、401 Unauthoried进行响应。（3）客户端浏览器接收到这条信息后，要求用户输入证件，通常是用户名和密码。（4）然后，Web服务器使用这些用户证件来访问服务器上的资源。（5）如果验证失败，用户证件无效，则会返回步骤（2），重新以401 Unauthoried响应。（6）如果验证成功，则客户浏览器通过身份验证，可以访问资源。Windows验证（1）Windows验证（2）2摘要式身份验证与IIS 5.0一起推出的摘要式身份验证与基本身份验证类似，但它从浏览器向Web服务器传送用户证书时采用MD5哈希算法加密，因此该身份验证更为安全，不过它要求使用Internet Explorer 5.0

3、或更高版本的客户端以及特定的服务器配置。摘要式身份验证的流程如下：（1）用户向服务器请求被限制的资源。（2）Web服务器将发送一个验证请求，它使用401 Unauthoried进行响应。（3）客户端浏览器在接收到该响应后，弹出对话框来询问用户的证件资料。当用户输入证件资料后，浏览器会在提供的数据中加入一些唯一性的信息并对其进行加密。这些唯一性的数据确保以后任何人都无法通过复制这些加密后的信息来访问服务器。（4）客户端浏览器将加密后的证件以及未经加密的唯一性信息发送给服务器。（5）Web服务器使用未经加密的唯一性信息来对Windows操作系统用户列表中的用户证件进行加密，然后逐一比较加密后的证件

4、与浏览器发送来的数据。（6）如果证件无效（即加密后的证件与浏览器发送来的数据无一相同），则回到步骤（2）继续请求用户证件资料。（7）如果证件通过了身份验证，浏览器可以访问请求的资源。Windows验证（3）3集成的Windows身份验证集成Windows身份验证时，将不会要求用户输入证件，相反，当浏览器连接到服务器后，即将加密后的、用户登录计算机时使用的用户名和密码信息发送给服务器。服务器将对这些信息进行检查，以确定用户是否有权访问。这一切验证过程对用户都是不可见的。4证书身份验证证书身份验证使用客户端证书明确地识别用户。客户端证书由用户的浏览器（或客户端应用程序）传递到Web服务器（如果是W

5、eb服务，则由Web服务客户端通过HttpWebRequest对象的ClientCertificates属性传递证书），Web服务器从证书中提取用户标识。该方法依赖于用户计算机上安装的客户端证书，所以它一般在Intranet或Extranet方案中使用，因为用户熟悉并能控制Intranet和Extranet中的用户群。IIS在收到客户端证书后，可以将证书映射到Windows账户。5匿名身份验证如果不需要对客户端进行身份验证（或者用户实施自定义的身份验证方案），则可以配置IIS进行匿名身份验证。在这种情况下，Web服务器创建Windows访问令牌来表示使用同一个匿名（或guest）账户的所有匿名

6、用户。默认匿名账户是IUSR_MACHINENAME，其中，MACHINENAME是在安装时为计算机指定的NetBIOS名称。Forms验证（1） 在 中，可以选择由 应用程序通过窗体验证（Form authentication）进行身份验证，而不是通过IIS。窗体验证是 验证服务，它能够让应用程序拥有自己的登录界面，当用户试图访问被限制的资源时便会重定向到该登录界面，而不是弹出登录对话框。在登录页面中，可以自行编写代码来验证用户的证件资料。 1安全处理流程如果在 中采用窗体验证模式，则其安全处理流程如图所示。2验证用户证件资料在登录界面的提交按钮的Click事件处理程序中，可以进行用户输入的

7、证件资料检查，从而判断证件资料是否正确，也就是身份验证的过程。根据正确证件资料的存放位置的不同，可以将验证方式划分为以下3种，即在代码中直接验证、利用数据库实现验证和利用配置文件实现验证。3使用FormsAuthentication类FormsAuthentication类提供了一些静态方法，使用它们可以操纵身份验证凭证和执行基本的身份验证操作。其常用的方法及说明如表所示。Forms验证（2）名 称说 明Authenticate对照存储在应用程序配置文件中的凭据来验证用户名和密码GetAuthCookie为给定的用户名创建身份验证CookieGetRedirectUrl返回重定向到登录页的原始

8、请求的URLHashPasswordForStoringInConfigFile根据指定的密码和哈希算法生成一个适合于存储在配置文件中的哈希密码RedirectFromLoginPage将经过身份验证的用户重定向回最初请求的URL或默认URLSetAuthCookie为提供的用户名创建一个身份验证票证，并将其添加到响应的Cookie集合或 URLSignOut从浏览器删除Forms身份验证票证 Passport验证是微软公司提供的一种集中式验证服务，它的工作原理与窗体验证类似，都是在客户端创建验证Cookie，用于授权。使用Passport验证时，用户将被重定向至Passport登录网页，该页

9、面提供了一个非常简单的窗体让用户填写验证资料，该窗体将通过微软公司的Passport服务来检查用户的证件，以确定用户的身份是否有效。 说明：使用Passport验证服务必须下载Passport软件开发的工具包SDK，并相应地配置应用程序，而且必须是微软的Passport服务的成员才能使用该服务。Passport验证授 权（1） 开发的Web应用程序的安全性主要依赖验证和授权（Authorization）两项功能。正如前面所介绍的，验证指的是根据用户的验证信息识别其身份，而授权旨在确定通过验证的用户可以访问哪些资源。 提供了两种授权方式：文件授权（File Authorization）和URL授

10、权。文件授权由FileAuthorizationModule类（验证远程用户是否具有访问所请求的文件的权限）执行。它通过检查.aspx或.asmx处理程序文件的访问控制列表（ACL），来确定用户是否应该具有对文件的访问权限。URL授权由UrlAuthorizationModule类（验证用户是否具有访问所请求的URL的权限）执行，它将用户和角色映射到 应用程序的URL中。下面将主要介绍URL授权。 URL授权可以显式允许或拒绝某个用户名或角色对特定目录的访问权限。要启用URL授权，必须在Web.config配置文件中设置配置节，其使用语法如下：授 权（2） allow和deny元素分别用于授予访问权限和撤销访问权限。每个元素都支持表所示的属性。属 性说 明users标识此元素的目标身份（用户账户）。用问号（?）标识匿名用户，用星号（*）指定所有经过身份验证的用户roles为被允许或被拒绝访问资源的当前请求标识一个角色（RolePrincipal对象）verbs定义操作所要应用到的HTTP谓词，如GET、HEAD和POST。默认值为“*”，它指定了所有谓词授 权（3）例如，允许Admins角色的Kim