asp.net web 应用的安全性

《asp.net web 应用的安全性》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、DEV337:ASP.NETWeb应用的安全性日程概述验证(Authentication)授权(Authorization)基于角色的安全性管理和规划安全的策略安全服务ASP.NET支持验证和授权可扩展和定制透明的认证方案简单的部署模型支持可声明的和强制性的授权支持应用级的安全性进程标识Windows®2000:默认是ASPNET(本地账号)可以按照System或者由设置的账号Windows.NETServer使用IIS6进程模型默认是NetworkService可配置应用池，标识好也可配置请求标识模拟(Impersona

2、tion)按照请求标识的安全设置运行可在ASP.NET中配置可以设置为与ASP兼容检查线程标识<%@ImportNamespace="System.Security.Principal"%>DimcurrAsWindowsIdentitycurr=WindowsIdentity.GetCurrent()//threadacctnameisincurr.Name//tokenincurr.Token(astypeIntPtr)配置标识demoCon

3、figurationLockdown通过配置文件进行管理控制用来设置安全策略或者限制应用程序行为ConfigurationLockdowndemoASP.NET请求的处理过程NativeCode.NETCodeApplicationHost(IIS)ASP.NETPageASP.NETRuntimeASP.NETS

4、erviceHTTPHandlerHTTPModuleGlobal.asaxHTTPModuleHttpContext每个请求事件:BeginRequestAuthenticateRequestAuthorizeRequestResolveRequestCacheAcquireRequestStatePreRequestHandlerExecutePostRequestHandlerExecuteReleaseRequestStateUpdateRequestCacheEndRequest日程概述验证(Auth

5、entication)授权(Authorization)基于角色的安全性管理和规划安全的策略验证ASP.NET实际上是ISAPI扩展仅仅处理可以识别的内容Windows验证(通过IIS)基本,摘要,NTLM,Kerberos,认证支持充分利用了平台的验证方式基于表单(Cookie)的验证应用程序的安全性验证支持Microsoft®Passport验证方式定制的验证方式MicrosoftPassport在成员站点中间，只需要一次登陆集成到了ASP.NET验证方式需要安装PassportSDKASP.NET处理:IPassportManager,IPass

6、portManager2,IPassportCrypt接口详细信息http://www.passport.comIIS6直接支持Passport基于表单的验证容易实现ASP.NET提供了重定向步骤配置IIS允许匿名用户(默认方式)使用SSL!配置ASP.NETcookie验证编写你自己的登陆页面表单验证的工作方式WebBrowser1GETdefault.aspxHTTP/1.122.302RedirectLocation:login.aspx33.POSTlogin.aspxHTTP/1.1

7、ls>55.200OKSet-Cookie:.ASPXAUTHAuthTicket66.GETdefault.aspxHTTP/1.1Cookie:.ASPXAUTHAuthTicket44.AppauthenticationIIS/ASP.NETSQL/AD配置表单验证配置表单验证

8、ey>部分配置不同的键值来区分不同的应用必须在Webfarms之间同步