web应用程序设计第10章

《web应用程序设计第10章》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第10章Web应用的安全性Web应用安全性概述ASP.NET的身份验证与授权ASP.NET的成员资格技术基于角色安全性与数据访问安全性一、Web应用安全性概述Web应用的安全性问题解决Web应用安全问题的方法IIS的身份验证与安全1、Web应用的安全性问题攻击者的非法攻击内部攻击者：内部员工、病毒（包括木马和蠕虫）外部攻击者：电脑黑客或破解者常见类型攻击技术型：拒绝服务攻击、计算机自动攻击、病毒、蠕虫、木马、安全漏洞非技术型：社交工程2、解决Web应用安全问题的方法安全威胁的分类（STRIDE模型）Spoofing（身份欺骗）Tampering（篡改数据）Repudiation（否认）In

2、formationDisclosure（信息泄漏）DenialofService（拒绝服务）ElevationofPrivilege（特权升级）2、解决Web应用安全问题的方法安全技术身份验证授权审核：日志支持保密：加密技术完整性认可3、IIS的身份验证与安全IIS的身份验证管理匿名访问：以Internet来宾用户（IUSER_计算机名）访问集成Windows身份验证：企业内部网使用基本身份验证：明文传送用户名/密码，安全性低摘要式身份验证：MD5协议传送加密的用户名/密码IIS的授权管理访问权限：包括读取、写入、目录浏览、脚本资源访问、记录访问和索引资源等；执行权限：可精确地控制程序和脚

3、本的运行二、ASP.NET的身份验证与授权ASP.NET的身份验证和授权概述ASP.NET的身份验证与授权的配置ASP.NET的表单身份验证1、ASP.NET的身份验证和授权概述ASP.NET的身份验证ASP.NET的授权机制A、ASP.NET的身份验证（1）Windows身份验证直接利用Windows系统的用户管理功能达到身份验证，是最快的身份验证模式。它适合Intranet、适合于Web应用程序的后台业务管理。（2）Forms身份验证它通过登录页面实现身份验证。适合于Internet用户。（3）Passport身份验证它由.NetPassport服务来验证用户身份，通过验证后返回验证凭

4、据。适合于多个站点的一次性登录管理。最慢的身份验证方法B．ASP.NET的授权机制（1）文件授权内置文件授权模块（即FileAuthorizationModule），通过检查Web资源的访问控制列表(ACL)，以确定用户是否具有访问该资源的权限。只能用于Windows身份验证。（2）URL授权内置URL授权模块（即UrlAuthorizationModule）执行授权，检查远程用户或角色是否具有访问特定URL资源的权限。适用于Forms身份验证2、ASP.NET的身份验证与授权的配置ASP.NET身份验证的配置ASP.NET授权的配置A．ASP.NET身份验证的配置在配置文件Web.con

5、fig中：mode:Windows/Forms/Passport/NoneB．ASP.NET授权的配置在配置文件中使用元素进行允许或拒绝访问的设置或元素的属性：users用来指定用户，roles用来指定角色指定用户或角色时可使用通配符：*：在或中表示允许或拒绝任何人访问?：在中允许匿名用户访问，在中表示拒绝未授权的用户访问注意：授权时，可针对应用程序级授权，也可以针对页面级

6、授权。其中，后者使用元素配置。例P235三、ASP.NET的表单身份验证表单身份验证的工作机制启用表单身份验证为表单身份验证自定义验证逻辑1．表单身份验证的工作机制使用表单身份验证时，首先显示登录页面。提交用户名和密码后，ASP.NET执行表单验证模块并创建表单验证对象来管理身份验证。表单验证对象（FormsAuthentication）的常用方法：Authenticate()：将账户信息与配置文件中的账户信息进行比对RedirectFromLoginPage()

7、RedirectToLoginPage()SignOut()：退出登录状态并删除验证凭据。

8、ASP.NET允许自定义程序逻辑，将用户名和密码与位于数据库、活动目录或注册表中的账户信息进行比较。通过验证时，验证凭据以Cookie或QueryString的形式返给客户端，当再次请求访问时将自动被提交给服务器。若验证凭据失效或丢失，则需要重新登录。2．启用表单身份验证例：