ASP.NET网站开发Forms安全验证

最新推荐文章于 2019-07-27 05:26:20 发布
最新推荐文章于 2019-07-27 05:26:20 发布
阅读量215 收藏
点赞数 1
分类专栏: ASP.NET网页制作 文章标签: ASP.NET网站开发Forms安全验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lyc_luojin/article/details/79918151
版权

一、安全模式

    安全模式分为4种,分别是Windows验证,Passport验证,Form验证,None验证,None验证是不进行验证,所以今天要介绍的只有三种;

    一)、Windows身份验证

        Windows身份验证是将请求直接发送给IIS,这类身份验证在内联网环境中非常有效,在该环节中,可以让服务器处理这个验证过程,尤其是用户已登录到网络上是,只需要获取并利用已有证书就可以。

    二)、Passport身份验证,

        Passport是微软提供的身份验证,要钱!!!所以这里不多做介绍,有兴趣可以自己去别处了解一下!

    三)、Form验证

        Form验证是窗体身份验证,允许用户访问整个应用程序或者其特定资源的一中流行模式,使用它可以把登录窗体直接放在应用程序中,这样,终端用户只需要把用户名和密码输入到浏览器中的HTML窗体上即可;

        1.主要属性

            1).name:这是赋予cookie的名字,该cookie用于在请求之间保存用户。

            2).loginUrl:如果没有找到有效的验证cookie,就指定请求中定向的URL。

            3).protrction:*All:应用程序使用数据有效性验证和加密机制来保护cookie,这是默认设置。

                                  *None:不加密cookie。

                                  *Encryption:加密cookie,但不对他进行数据有效性验证。

                                  *Validation:进行数据有效性验证,但不加密cookie。

            4).path:制定应用程序所存储cookie的路径。

            5).timeout:制定cookie过期的时间(分钟),其默认值为30分钟。

            6).cookieless:制定在进行验证和授权的过程中,基于窗体的身份验证是否使用cookie。

            7).defaultUrl:指定默认的URL。

            8).domain:制定要与窗体身份验证一起发送的域名。

        2.限制匿名

            在网站开发中,如果其他人知道你的网页连接,那么就可以直接进入,但是有的网页是公司内部人员才能进入的,所以这里可以加一个权限,就是限制匿名进入,比如输入正确管理员帐号密码才可以进入。

            1):新建两个页面然后在web.config中输入:

                

    

    

Lyc_luojin
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET Forms验证 实现子域名(SubDomain)共享登陆下的缺陷
08-28
ASP.NET Forms验证 实现子域名(SubDomain)共享登陆 http://www.cnblogs.com/Medi-Bruce/archive/2010/01/17/1650027.html 一、什么是单点登录    单点登录就是在多个web应用程序中,实现统一登录方式,一但登录了某web应用程序,其它相关联的web应用程 序都无需再次登录,一个地方退出,所有相关联的web应用程序都退出. 二、通过利用ASP.NET Forms验证模式 可以实现子域名(SubDomain)共享登陆下的缺陷 要利用Asp.NET Form验证模式实现 同一主域下不同子域名共享登陆状态需要进行以下配置 配置Web.config 1.把Asp.net的认证模式改为Forms认证模式,domain 要等于你的应用程序对应的域名,例如: .test.cn <authentication mode="Forms"> <forms name=".ASPNETFORM" domain=".test.cn" loginUrl="/login.aspx" defaultUrl="/default.aspx" protection="All" timeout="30" path="/" requireSSL="false" slidingExpiration="true" enableCrossAppRedirects="false" cookieless="UseDeviceProfile" /> </authentication> 2.配置针对存储在cookie中的票据信息进行加密解密的方式 <machineKey validationKey="CF10047DB84FBA7F418BF30F9697B1D6EDDA3A90837F3C57B336B4016E47986135B31B2432F7CB20A6858DFFB E4E5ECD1451E17C91830993445D0EA5708BABBD" decryptionKey="5D37DDB652B86956" validation="SHA1"/> 备注:生成machineKey网址     http://www.aspnetresources.com/tools/keycreator.aspx 登陆创建验证票据 1.应用程序登陆页面(Login.aspx)输入用户名、密码并验证通过后,创建一张加密过的验证票据,并存储在cookie中 //创建验证FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, name, DateTime.Now, DateTime.Now.AddDays(1d), false, HttpContext.Current.Request.UserHostAddress ); string authTicket = FormsAuthentication.Encrypt(ticket); HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, authTicket); cookie.Domain = ConfigurationManager.AppSettings["SSODomain"]; HttpContext.Current.Response.Cookies.Add(cookie); 2.登陆完毕后进入有权限的页面,并可得到验证通过后的ID User.Identity.Name; if (!User.Identity.IsAuthenticated) { //未登录 Response.Redirect("/login.aspx"); } string name = User.Identity.Name; 3.登出页面,清空用户信息,并销毁票据 HttpContext.Current.Session.Clear(); FormsAuthentication.SignOut(); 三、Forms验证 实现子域名(SubDomain)共享登陆下的缺陷 根据以上讲解,均可实现同一主域名下的多个子域名共享登陆状态,但是主域名有所限制,当主域名为1个字母,而后缀为2个字母的域名,不能通过认证,例如:a.cn域名,a.jp域名 均不能实现子域名共享登陆,而其他域名均能实现,例如:a.test.com, a.sina.cn 等,大家亦可通过修改hosts文件试验一下,如有高手知道怎么解决这个问题的,请指教,谢谢!!并附上 Demo程序 ,请大家指教! PS:因本人公司的域名为p.cn,想通过Form认证的模式实现子域名共享登陆状态,但是死活用不上!~~!!汗,不知道这个算不算微软的Bug。
asp.net网站安全从小做起与防范小结
01-20
以下都以ASP.NET开发网站为例。 1、sql注入漏洞。 解决办法:使用存储过程,参数不要用字符串拼接。简单改进办法:使用SqlHelper和OledbHelper 2、跨站脚本漏洞 解决办法:“默认禁止,显式允许”的策略。具体参考:从客户端检测到有潜在危险的Request.Form值,禁止提交html标记(<>等被转义成<) 3、上传漏洞 解决办法:禁止上传目录的运行权限。只给读取权限。另外要禁止上传非法类型文件。不仅仅是aspx类型,包括很多,甚至htm、html类型文件也不应该直接上传保存。 4、数据库连接帐号,尽量使用最低权限的帐号。一定不要给管理员权限。 假如被黑客得知了数据库的密
Forms验证模式下,实现多个站点(SubDomain相同)共享同一用户登录状态
weixin_34187862的博客
07-05 116
今天一早看了dudu关于二级域名Cookie的问题及解决方法,认为dudu的原理解释不是十分明确,不能确定dudu的代码FormsAuthentication.SetAuthCookie后添加下属代码HttpCookie cookie = Request.Cookies[".DottextCookie"]; if(cookie!=null) { cookie.Domain = ".cnblogs....
浅析基于asp.net网站安全漏洞及防范
09-13
针对网络安全中出现的一些问题,介绍在sql注入式攻击、查询串式数据传递、绕过登录直接进入页面、输入框中输入恶意代码、数据库等几方面存在的漏洞,并对这些漏洞进行分析,提出一些防范建议,适合网管人员学习。
ASP.NET 安全(一)
yanzhibo的专栏IlgawME)Y*Ml
11-26 1164
防范黑客攻击您的 ASP.NET 应用程序 Adam Tuliper 主流媒体几乎每天都会报道又一个站点遭到了黑客攻击。 如果持续受到黑客高手群体入侵,开发人员会怀疑这些群体是否在使用高级技术执行他们的危害工作。 虽然某些现代攻击可能会十分复杂,但大部分有效攻击通常很简单并且多年来一直在使用。 幸运的是,此类攻击通常都能轻松防范。 我将用两篇文章的篇幅概述一些
ASP.NET Internet安全Forms身份验证方法
10-29
安全性是 ASP.NET Web 应用程序中一个非常重要的方面,它涉及内容非常广泛,不能在一篇文章内说明所有的安全规范,本文讲述如何利用IIS以及Forms 身份验证构建安全ASP.NET 应用程序,它是目前被使用最多最广的验证/...
ASP.NET 2.0 中Forms安全认证
10-29
ASP.NET 中有一个完整的 Web 应用程序或网站的用户身份验证系统
asp.net mvc中Forms身份验证身份验证流程
01-03
验证流程 一、用户登录 1、验证表单:ModelState.IsValid 2、验证用户名和密码:通过查询数据库验证 3、如果用户名和密码正确,则在客户端保存Cookie以保存用户登录状态:SetAuthCookie  1):从数据库中查出用户名...
提高IIS+ASP网站安全性的方法
Devil Angel
05-22 1624
1.防止数据库被下载   由于Access数据库加密机制过于简单,有效地防止数据库被下载,就成了提高ASP+Access解决方案安全性的重中之重。以下两种方法简单、有效。   (1)非常规命名法。为Access数据库文件起一个复杂的非常规名字,并把它放在几个目录下。例如,对于网上书店的数据库,我们不把它命名为“book.mdb”或“Store.mdb”,而是起个非常规的名字,例如:faq9jl.m
forms 身份验证(授权)详解
weixin_30463341的博客
07-27 1072
首先在 web.config 中设置<authentication mode="Forms">设置 mode="Forms" <forms loginUrl="login.aspx" name="boyang" protection="All"></forms>加密和保护 </authentication> <authoriz...
使用Asp.Net构建安全网站【转】
铭记园园的专栏
04-02 447
摘 要 Asp.Net技术被广泛应用,该技术的安全性越来越受到人们重视。本文介绍黑客对Asp.Net系统的攻击手段以及如何采用Asp.Net技术来避免这些安全漏洞,从而构建安全性的网站系统。关键字 Asp.Net安全漏洞;对策1 引言Asp.Net又叫ASP+,他不是ASP的简单升级,而是Microsoft推出的新一代Active Server Pages。ASP
asp.net网站安全检测网址
shuaicike的专栏
03-11 647
https://asafaweb.com/Scan?Url=old.pinganxiaoba.com%2Findex.php
ASP.NET网站中的安全问题
02-10 495
      在网络经常看到网站被挂马、主页被修改的新闻,其实这些问题可能是多方面的,服务器,网站程序等等。。。但是现在溢出已经被人们重视和服务器的不断完善,服务器系统漏洞也不是那么容易发掘,当然也要保证第三方的软件安全。做项目也有一段时间了。在程序中也遇到很多安全方面的问题。也该总结一下了。这个项目是一个CMS系统。系统是用ASP.NET做的。开发的时候发现微软做了很多安全措施,只是有些新手程序员
关于asp.netforms身份验证
合格程序员
10-21 771
asp.net中自带了forms验证的实现,没有通过表单的验证将被导航到登录页面,要在web.config文件中作设置,具体如下:system.web>  authentication mode="Forms">     forms name="Login" loginUrl="~/Login.aspx" timeout="60">             forms>  authenticat
ASP.NET Forms验证详解
moonpure的专栏
04-25 5393
创建网站中,常常会使用到身份验证asp.net中内置了几种身份验证的方式,如Windows、Froms、Passport等。这几种身份验证的方式各有不同。一般来说,网站的身份验证方式都会经过以下几个步骤:     1、输入用户名和密码,单击确定按钮。     2、在后台判断用户名和密码是否正确,如果错误返回提示;如果正确,进入可访问的页面。       在ASP时代,通常
ASP.NET网站开发——安全验证
Carina的编程技术博客
04-16 465
安全验证一、ASP.NET安全模式1.安全的必要性:(1)构造特殊的链接地址,导致文件内的数据泄漏。(2)数据库泄露。(3)安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全性是关键。2.安全模式的概念:根据所请求资源的类型,IIS能够自己处理请求,也可以不自己处理请求。如果资源请求一个ASPX页面,则IIS将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给ASP....
asp.net 网站安全解决方案
zld1987的专栏
01-22 759
      1、sql注入漏洞。       解决办法:使用存储过程,参数不要用字符串拼接。简单改进办法:使用SqlHelper和OledbHelper       2、跨站脚本漏洞       解决办法:“默认禁止,显式允许”的策略。具体参考:从客户端检测到有潜在危险的Request.Form值,禁止提交html标记(      3、上传漏洞       解决办法:禁止上传目录的运行权限。只给读
ASP.NET).NET网站安全性配置
apple8422的博客
05-22 964
网站做得七七八八,调试也差不多的时候,就应该要对网站做一个安全检测和设置了,下面将简单地对.Net网站的配置
asp.net MVC 通用登录验证模块
最新发布
05-30
ASP.NET Identity 是一个可扩展的、灵活的、安全的用户验证和授权系统,可以用于 ASP.NET MVC、Web API 和 ASP.NET Web Forms 等 Web 应用程序中。 ASP.NET Identity 提供了以下功能: 1. 用户注册和管理 2. 用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值