ASPNET安全性高级编程 第六章 ASP.NET安全架构

最新推荐文章于 2019-08-13 08:41:18 发布
最新推荐文章于 2019-08-13 08:41:18 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: .NET安全 文章标签: asp.net 编程 web服务 windows .net web

ASP.NET安全架构的主要功能
身份验证和授权
.NET授权提供者
安全上下文中的标识和主体
身份验证模块如何运行
授权模块如何运行
1.身份验证
Windows身份验证
窗体身份验证
Passport身份验证
自定义身份验证过程
2授权
基于角色的授权
身份验证和授权的区别:身份验证是揭示用户标识的过程,而授权则是确定用户访问特权的过程。
3假冒
4综合运用所有功能
当用户首次访问 web站点时他们是匿名用户。
当用户请求非安全资源时,他们可以自动地访问这个资源:这就是非安全的含义。
当用户请求安全资源时,会有以下几个步骤
(1)请求被发送到web服务器
(2)用户提供凭证
(3)如果用户凭证合法,就准许这个用户访问资源,否则,就会提示这个用户使用合适的凭证登录,或者被重定向到一个"被拒绝访问"的Web页
当用户请求一个安全资源,且该资源仅有一个被确认的标识有权访问时,会发生以下步骤
(1)请求被发送到Web服务器由于此用户还没有被确认,所以会被定向到一个登录页
(2)用户提供凭证,这些凭证由身份验证应用程序进行验证
(3)把用户的凭证或角色与被允许的用户或角色列表进行比较,如果用户在列表中,那么他们就被准许访问这个资源,否则,访问就会被拒绝。
(4)被访问的用户要么被提示用被请求资源的合适凭证进行登录,要么被重定向到一个"访问被拒绝"的Web页
启用假冒
向应用程序(web.config)的根级配置文件添加<identity>元素就可以启用假冒
<configuration>
<system.web>
<identity impersonate="true" userName="dotnetjunies/DSeven" password="aspnet">
</identity>
</system.web>
</configuration>

6.2 如何实现.NET安全
1 表示安全上下文
Identity对象表示的是通过身份验证的用户,他的类型取决于身份验证的类型,Windows身份验证使用的是WindowsIdentity对象,而窗体身份验证使用的则是FormsIdentity对象
Principal对象表示的是通过身份验证的用户的组和角色成员。也就是安全上下文

6.23 ASP.NET页面请求中出现的安全事件
6.24内置的身份验证模块
1 DefaultAuthenticationModule模块
2 WindowsAuthenticationModule模块
3 PassportAuthenticationModule模块
4 FormsAuthenticationModule模块
6.25 内置的授权模块
ASP.NET Framework中有两个授权模块类:FileAuthorizationModule类和UrlAuthorizationModule类

ITFLY8
关注
专栏目录
.net架构安全架构相关东西
04-09
详细介绍.net架构,如何保证架构安全,如果你是架构师,这个倒是一本好书
ASP.NET安全性高级编程
03-17
ASP.NET 安全性高级编程 深入学习asp.net的书
ASP.NET安全架构--如何实现.NET安全
weixin_34138521的博客
05-02 104
感谢作者:yanyangtian        前言:大家是否在用Forms验证的时候,常常被很多的概念搅混?是否真的明白什么是Principal,Identity,以及 IPrincipan...?很多的文献很少提及这些到底是什么,仅仅是怎么用,结果出问题,导致很多的朋友的理解仅仅停在表面,使用起来也是束手束脚。相信看完本篇,会有一定的收获的。        ASP.NET安全架构为实现We...
ASP.NET安全问题--ASP.NET安全架构
weixin_34146986的博客
05-01 121
                                          ASP.NET安全架构        前言:上篇文章谈了很多的理论的东西,所以决定先跳过一些理论的讲解,先看看ASP.NET安全架构,到下篇就再讲讲理论知识,这样穿插起来讲可能效果更好。而且本篇注重与很多常见概念的解释,相信大家看完后一定有一些收获的。  系列文章链接:ASP.NET开发安全问题ASP.NET...
ASP.NET安全问题--ASP.NET安全架构--如何实现.NET安全
weixin_34194317的博客
05-02 102
                                                                                                                         ASP.NET安全架构--如何实现.NET安全                      前言:大家是否在用Forms验证的时候,常常被很多的概念搅混...
.Net网站架构设计(七)网络安全
liming850628的专栏
03-21 1611
.Net网站架构(七)网络安全
浅谈ASP.net安全编程
03-08
于是,我们会想到很多安全措施,比如使用SSL、建立网上银行一样的强认证方式等,但是,对于大部分网站而言,可能这些方法具有一定的困难性,因为要实现这些比较强的安全措施,最起码需要一台服务器,在经济上显然不是小数目。那么,有没有比较经济的方法来解决这类问题呢?答案是肯定的,现在.NET构架在System.Security.Cryptography命名空间里提供了许多加密类可以利用,包括安全的数据编码和解码以及散列法、随机数字生成和消息身份验证。下面,我们来看看几个比较典型的例子,以供参考。 实现ASP.net表单的安全提交 使用ASP.NET环境下的电子邮件功能,我们可以容易的实现发送电子邮件。可能我们会说,不用ASP.NET,直接使用HTML,也可以实现以上功能。其实,这是完全不一样的:使用HTML,用户提交信息的时候,是调用客户端的邮件收发软件,使用用户的邮箱发送表单信息,如果用户没有邮箱或者用户没有邮件收发软件,就不能提交信息;而采用ASP.NET,可以使用服务器端(程序设计者)提供的邮箱和SMTP服务器,也不需要客户安装邮件收软件,一切都直接在服务端完成,显然更加适合我们的要求。现在,我们就来看以上功能的代码实现。首先,我们来看网页界面实现的关键代码: <Form id="form1" runat="server"> 姓名: <asp:TextBox id="txtFname" runat="server" /> 地址: <asp:TextBox id="txtAddr" runat="server" /> 内容: <asp:TextBox id="txtContent" runat="server" /> <asp:Button id="btnEmail" Text="提交" onclick="doEmail" runat="server" /> </Form> 以上只是很简单的几个提交项,在实际中,我们可以根据需要增加。还是根据上述例子,因为需要用到电子邮件功能,所以,我们需要引入Email名字空间:<%@ Import Namespace="System.Web.Mail" %>;然后,我们来实现按钮btnEmail的点击事件: Sub doEmail(Source as Object, E as EventArgs) Dim sMsg as String sMsg+="提交信息:" & vbcrlf sMsg+="姓名 :" & txtFname.Text & vbcrlf sMsg+="地址: " & txtAddr.Text & vbcrlf sMsg+="内容: " & txtContent.Text & vbcrlf Dim objEmail as New MailMessage objEmail.To="whpub@tom.com" objEmail.FROM="from@tom.com" objEmail.SUBJECT="提出意见" objEmail.BODY=sMsg objEmail.BodyFormat = MailFormat.Text
ASP.NET动态网站开发教程(第三版)
06-25
8. **ASP.NET身份验证和授权**:学习如何实现用户身份验证和权限控制,确保网站的安全性。 9. **缓存管理**:理解如何利用ASP.NET的缓存机制提高网站性能。 10. **部署与调试**:学习如何将ASP.NET应用部署到IIS...
.NET 框架安全性概述
Alinker
10-16 1480
 发布日期: 4/1/2004 | 更新日期: 4/1/2004摘要:本文概述了 Microsoft .NET 框架安全系统的基本特性,包括对于动态下载和执行模式以及远程执行模式,限制代码在严格约束的、管理员定义的安全上下文中运行的能力。(21页打印页)Demien Watkins 博士,项目 42Sebastian Lange,Microsoft Corporation
ASP.NET安全架构概要
Godling的专栏
02-23 684
一。ASP.NET工作进程默认在windows ASPNET账户下运行通过在配置文件中修改配置节 processModel配置节就可以修改ASP.NET工作进程的运行账户注意1:该配置节只能在machine.config配置文件中修改,因此修改该配置节后讲影响服务器下所有asp.net应用程序注意2:ASP.NET不会自定识别machine.config的修改,需要重启IIS服务-------
保护您的 ASP.NET 应用程序
Lassewang的成长历程
02-03 1348
在上一期中,我讨论了构建 Web 应用程序安全性的重要性,并介绍了包括 SQL 注入和参数篡改在内的一些攻击类型,以及如何防范这些类型的攻击 (msdn.microsoft.com/magazine/hh580736)。 在本文中,我将深入探讨以下两种更常见的攻击,以帮助完善我们的应用程序保护体系:跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF)。 您可能很想知道: 只使用生产安全
.net 安全编程(序)
阿文(alvin)的专栏
05-27 640
 申明:英文原稿来自网络。序.NET 框架是一个自由、通用目标计算平台,其设计可满足商业组织和个人的需求,并且支持各种应用模型。.NET支持最新的趋势,包括高度分布式系统、基于组件的应用以及基于WEB的服务器端解决方案(包括XML Web服务)。尽管这些趋势已经导向于应用功能性和程序员效率,也要求软件客户、生产者和服务提供者对软件和系统安全给与更多的关注。       传统上,
[转].NET安全基础
weixin_30731305的博客
08-13 324
.NET安全基础 文章转自:http://www.itpub.net/viewthread.php?tid=624170&extra=&page=1 本单元内容 microsoft .NET Framework 在其安全性命名空间中提供了许多技术和大量的类型,帮助开发人员构建安全的代码,并创建安全Web 应用程序。本单元通过简单地介绍托管代码开发在安全性...
ASP.NET动态网站开发项目化教程-CSDN下载
03-14
此外,ASP.NET还提供了ASP.NET MVC(Model-View-Controller)和ASP.NET Web Forms两种不同的开发模式,前者强调分离关注点,后者则提供了更直观的控件和事件驱动编程模型。 在项目化学习中,你将了解到如何规划和...
ASPNET安全性高级编程 第五章 实现密码策略
01-09 1132
1. 选取密码的最好方法是把A-Z a-z 0-9 之间的字符和几个特殊字符进行随机组合2 密码的最小长度6-7位(服务器端自定义验证程序)实例代码private void CustomValidator1_ServerValidate(object source, System.Web.UI.WebControls.ServerValidateEventArgs args)  {  string
.Net中的安全机制
weixin_30270889的博客
10-15 217
这部分内容由于工作中接触的不多,所以理解起来用了不少时间,下面只是作简单的说明: Windows中的安全机制主要是这几个概念:我是谁(身份)、我要做什么(操作)、我要访问什么(资源)。而.Net中将其修改为我从哪里来(位置)、我要做什么(操作)、我要访问什么(资源)。由此.Net安全机制中有这几个概念:代码组、程序集、权限、权限集。 代码组是对程序集在安全方面的一个分类,...
ASP.NET安全机制2--安全性控制流
weixin_30699465的博客
09-03 94
上一章中讲解了身份验证和授权的概念,它们是构建ASP.NET安全的基础点。在此我就再重复一次这两个概念。 身份验证:提供了如何验证用户的机制。我们可以利用这些机制完成对用户的验证工作。 授权:对资源的可访问性进行设置的一种机制。可以利用它来限制资源可以被那些用户访问。 要想理解ASP.NET安全机制是如何工作我们还需要了解一下什么是安全性控制流。想想我...
利用ASP.NET框架制作基于角色的安全登陆
幽灵 逐梦--专栏
05-15 592
利用ASP.NET框架创建网站登陆本来标题应当是,利用.NET框架创作安全性网站。这是从MSDN上摘抄整理而来的,结合我自己的经验之谈。我看了有很多朋友都在尝试写出带有登陆这样功能的网站,其方法几乎都是验证用户的登陆合法,然后发送一个表示验证的Cookie,或者在Session中保存信息以便于追踪接下来的访问授权,其实,这些细节化的操作,.NET都提供了一种非常有效的解决办法,能使你从繁琐的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值