第13章 安全性、成员和角色管理

《第13章 安全性、成员和角色管理》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、第13章安全性、成员和角色管理郑州信息科技职业学院张中兴本章内容ASP.NET安全性简介表单验证成员角色管理登录控件13.1ASP.NET安全性简介安全性目的：控制资源的可访问性。特点：多层次实现。ASP.NET与.NETFramework、IIS及Windows协同工作，共同完成安全性保护。两种基本保护方法：成员资格：即身份验证，验证和管理Web应用程序的用户信息。角色管理：即授权，根据身份进行相应的操作。授权的基本方式是基于角色。角色就是将许多任务划分为不同的任务组，从而设定角色所能完成的任务。客户端发出请求IIS接

2、受一个请求是否允许用户的IP访问是否允许匿名访问在IUSER—Computername账户下运行IIS验证Windows验证用户是否通过ASP.NET执行相关的安全检查用户是否通过Windows验证Form验证Passport验证返回用户请求的页面否否否是13.1.1IIS安全概览IIS是安全检查的第一层次。ASP.NETIIS接收请求IP地址是否允许访问这个域?[No][Yes]用户是验证的？[Yes]IIS拒绝访问[No][Request]IIS验证有很多方式：基本验证：用户名和密码在http中传输，未加密。摘要验证

3、：使用套接字，可以实现信息加密。基于证书验证：需要购买证书。集成Windows验证：内部局域网使用。13.1.2ASP.NET验证性过程ASP.NET为在单个Web服务器上作为多个应用程序的宿主提供了极佳的环境。ASP.NET应用程序必须以一个指定的帐户身份访问服务器资源。默认情况下，在安装有IIS和ASP.NET的计算机系统中会有一个默认的帐户，其账户名为ASPNET。打开控制面板->管理工具->计算机管理，在其中的本地用户和组中可以看到一个ASPNET帐户。用户也可以设置一些特殊任务的帐户供ASP.NET程序使用。在

4、使用时需要在web.config中配置。例如：…说明：该帐户是针对所有ASP.NET访问者的，一般情况下还不足以对用户进行分类控制。13.1.3代码访问安全和ASP.NET信任级别除了用户确认之外，每个应用程序需要进行一些安全地配置作为ASP.NET应用程序的宿主的服务器的信任

5、级别和策略设置。信任级别有四种：Full：可进行任何操作，所有的.NET代码都允许执行，任何.NET类都可以使用。默认级别。High：代码可以使用.NET框架的大部分。Medium：目录限制Low：只读Minimal：没有和资源交互的能力信任级别使用web.config文件中的trust元素设置：...说明：信任级别都定义在策略文件中，可以根据需要修改。在管理工具中可以看到本地安全策略设置。13.1.4ASP.NET验证IIS验

6、证以后，会将请求和一个安全性标记传递给ASP.NET运行时，再由ASP.NET进行验证。ASP.NET支持多种验证模式，在web.config中进行设置。如:…验证模式包括：None:不验证。Windows:网络内部使用，IIS会先经过验证，如果通过，则会把安全性标记传递给ASP.NET。Passport:使用Passport验证服务器进行验证。Form:表单验证。一般提供登录页面，根据验证结果确定重定向页面。

7、13.2表单验证一般的网站都会定义一个登录的表单，接收用户输入的验证信息，一般包括用户名和密码，当经验证合法的用户可以操作系统的资源(访问一些页面)。否则的话，访问任何页面都会重定向到登录表单页面。可在Web.config中设置验证的表单。…

8、web>此处定义了验证的表单为Login.aspx。无论访问网站的哪个页面，系统都会先重定向到该页面。注意单词“authentication”表示验证，“authorization”表示授权，此处的含义是拒绝所有未经验证用户访问站点资源。13.2.2创建一个登录表单ASP.NET2.0支持一种窗体身份验证，其处理由F