第13章 安全性、成员和角色管理.ppt

1、第13章 安全性、成员和角色管理,郑州信息科技职业学院 张中兴,本章内容,ASP.NET安全性简介 表单验证 成员 角色管理 登录控件,13.1 ASP.NET安全性简介,安全性目的：控制资源的可访问性。 特点：多层次实现。ASP.NET与.NET Framework、IIS及Windows协同工作，共同完成安全性保护。 两种基本保护方法： 成员资格：即身份验证，验证和管理 Web 应用程序的用户信息。 角色管理：即授权，根据身份进行相应的操作。授权的基本方式是基于角色。角色就是将许多任务划分为不同的任务组，从而设定角色所能完成的任务。,客户端发出请求,IIS 接受一个请求,是否允许用户的IP

2、访问,是否允许匿名访问,在IUSERComputername 账户下运行,IIS验证,Windows验证用 户是否通过,ASP.NET执行相关的安全检查用户是否通过,Windows验证,Form验证,Passport验证,返回用户请求的页面,否,否,否,是,13.1.1 IIS安全概览,IIS是安全检查的第一层次。,Request,IIS验证有很多方式： 基本验证：用户名和密码在http中传输，未加密。 摘要验证：使用套接字，可以实现信息加密。 基于证书验证：需要购买证书。 集成Windows验证：内部局域网使用。,13.1.2 ASP.NET验证性过程,ASP.NET 为在单个 Web 服务

3、器上作为多个应用程序的宿主提供了极佳的环境。 ASP.NET应用程序必须以一个指定的帐户身份访问服务器资源。默认情况下，在安装有IIS和ASP.NET的计算机系统中会有一个默认的帐户，其账户名为ASPNET。打开控制面板-管理工具-计算机管理，在其中的本地用户和组中可以看到一个ASPNET帐户。 用户也可以设置一些特殊任务的帐户供ASP.NET程序使用。在使用时需要在web.config中配置。例如： 说明：该帐户是针对所有ASP.NET访问者的，一般情况下还不足以对用户进行分类控制。,13.1.3 代码访问安全和ASP.NET信任级别,除了用户确认之外，每个应用程序需要进行一些安全地配置作为

4、 ASP.NET 应用程序的宿主的服务器的信任级别和策略设置。信任级别有四种： Full：可进行任何操作，所有的.NET代码都允许执行，任何.NET类都可以使用。默认级别。 High：代码可以使用.NET框架的大部分。 Medium：目录限制 Low：只读 Minimal：没有和资源交互的能力 信任级别使用web.config文件中的trust元素设置： . 说明：信任级别都定义在策略文件中，可以根据需要修改。在管理工具中可以看到本地安全策略设置。,13.1.4 ASP.NET验证,IIS验证以后，会将请求和一个安全性标记传递给ASP.NET运行时，再由ASP.NET进行验证。 ASP.NET

5、支持多种验证模式，在web.config中进行设置。如: 验证模式包括： None:不验证。 Windows:网络内部使用，IIS会先经过验证，如果通过，则会把安全性标记传递给ASP.NET。 Passport:使用Passport验证服务器进行验证。 Form:表单验证。一般提供登录页面，根据验证结果确定重定向页面。,13.2 表单验证,一般的网站都会定义一个登录的表单，接收用户输入的验证信息，一般包括用户名和密码，当经验证合法的用户可以操作系统的资源(访问一些页面)。否则的话，访问任何页面都会重定向到登录表单页面。 可在Web.config中设置验证的表单。 此处定义了验证的表单为Logi

6、n.aspx。无论访问网站的哪个页面，系统都会先重定向到该页面。 注意单词“authentication”表示验证，“authorization”表示授权，此处的含义是拒绝所有未经验证用户访问站点资源。,13.2.2 创建一个登录表单,ASP.NET 2.0支持一种窗体身份验证，其处理由FormsAuthenticationModule类实现，该类是一个参与常规ASP.NET页处理循环的HTTP模块。窗体验证的步骤如下： 用户请求一个需要通过身份验证才有权限访问页面； 如果窗体验证处理模块检测到该用户拥有访问当前页面的权限，则停止校验，并继续用户的访问，否则转到步骤3； 用户的访问被重定向到一

7、个配置好的登录页。该登录页提示用户需要登录（通常是输入用户名和密码）。然后，将输入的登录信息传递给服务器并针对用户应存储的信息（如SQL Server数据库）进行验证； 对用户的输入信息进行身份验证后，将重定向到用户原来请求的页面。 要使用窗体身份验证，需要在Web.Config文件中配置相关启用身份验证信息。,下面是一个登录页面，命名为login.aspx,protected void bt_login_Click(object sender, EventArgs e) string user = txtUser.Text; string password = txtPassword.Tex

8、t; if (IsValidUser(user, password) FormsAuthentication.RedirectFromLoginPage(user, true); else labError.Text = 查无此用户!; private bool IsValidUser(string user,string password) if (user =zzx ,下面是Default.aspx页面的程序： protected void Page_Load(object sender, EventArgs e) Label1.Text = User.Identity.Name; protected void Button1_Cl