ASP.NET 授权(msdn)

最新推荐文章于 2022-12-28 10:49:57 发布
最新推荐文章于 2022-12-28 10:49:57 发布
阅读量765 收藏
点赞数
文章标签: asp.net authorization url windows web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzz1001/article/details/1860357
版权

授权决定了是否应授予某个标识对特定资源的访问权限。在 ASP.NET 中,有两种方式来授予对给定资源的访问权限:

  • 文件授权   文件授权由 FileAuthorizationModule 执行。它检查 .aspx 或 .asmx 处理程序文件的访问控制列表 (ACL) 以确定用户是否应该具有对文件的访问权限。ACL 权限用于验证用户的 Windows 标识(如果已启用 Windows 身份验证)或 ASP.NET 进程的 Windows 标识。有关更多信息,请参见 ASP.NET 模拟

  • URL 授权   URL 授权由 UrlAuthorizationModule 执行,它将用户和角色映射到 ASP.NET 应用程序中的 URL。这个模块可用于有选择地允许或拒绝特定用户或角色对应用程序的任意部分(通常为目录)的访问权限。

使用 URL 授权

通过 URL 授权,您可以显式允许或拒绝某个用户名或角色对特定目录的访问权限。为此,请在该目录的配置文件中创建一个 authorization 节。若要启用 URL 授权,请在配置文件的 authorization 节中的 allowdeny 元素中指定一个用户或角色列表。为目录建立的权限也会应用到其子目录,除非子目录中的配置文件重写这些权限。

下面显示了 authorization 节的语法:

复制代码 
   
   

    
    

     
     
     
     <
     
     authorization
     
     >
     
     
  
     
     <
     
     [allow
     
     |deny] usersrolesverbs 
     
     />
     
     

     
     </
     
     authorization
     
     >

allowdeny 元素是必需的。必须指定 usersroles 属性。可以同时包含二者,但这不是必需的。verbs 属性可选。

allowdeny 元素 分别授予访问权限和撤消访问权限。每个元素都支持下表所示的属性:

属性 说明

users

标识此元素的目标身份(用户帐户)。

用问号 (?) 标识匿名用户。可以用星号 (*) 指定所有经过身份验证的用户。

roles

为被允许或被拒绝访问资源的当前请求标识一个角色(RolePrincipal 对象)。有关更多信息,请参见使用角色管理授权

verbs

定义操作所要应用到的 HTTP 谓词,如 GETHEADPOST。默认值为“*”,它指定了所有谓词。

下面的示例对 Kim 标识和 Admins 角色的成员授予访问权限,对 John 标识(除非 Admins 角色中包含 John 标识)和所有匿名用户拒绝访问权限:

复制代码 
   
   

    
    

     
     
     
     <
     
     authorization
     
     >
     
     
  
     
     <
     
     allow 
     
     users
     
     ="Kim"
     
     />
     
     
  
     
     <
     
     allow 
     
     roles
     
     ="Admins"
     
     />
     
     
  
     
     <
     
     deny 
     
     users
     
     ="John"
     
     />
     
     
  
     
     <
     
     deny 
     
     users
     
     ="?"
     
     />
     
     

     
     </
     
     authorization
     
     >

下面的 authorization 节演示如何允许 John 标识的访问权限并拒绝所有其他用户的访问权限:

复制代码 
   
   

    
    

     
     
     
     <
     
     authorization
     
     >
     
     
  
     
     <
     
     allow 
     
     users
     
     ="John"
     
     />
     
     
  
     
     <
     
     deny 
     
     users
     
     ="*"
     
     />
     
     

     
     </
     
     authorization
     
     >
    
    

   
   
可以使用逗号分隔的列表为 usersroles 属性指定多个实体,如下面的示例所示:
复制代码 
   
   

    
    

     
     
     
     <
     
     allow 
     
     users
     
     ="John, Kim, contosoJane"
     
     />

请注意,如果指定一个域帐户名,该名称必须包含域名和用户名 (contoso/Jane)。

下面的示例允许所有用户对某个资源执行 HTTP GET 操作,但是只允许 Kim 标识执行 POST 操作:

复制代码 
   
   

    
    

     
     
     
     <
     
     authorization
     
     >
     
     
  
     
     <
     
     allow 
     
     verbs
     
     ="GET"
     
      users
     
     ="*"
     
     />
     
     
  
     
     <
     
     allow 
     
     verbs
     
     ="POST"
     
      users
     
     ="Kim"
     
     />
     
     
  
     
     <
     
     deny 
     
     verbs
     
     ="POST"
     
      users
     
     ="*"
     
     />
     
      

     
     </
     
     authorization
     
     >
    
    

   
   
规则应用如下:

  • 应用程序级别的配置文件中包含的规则优先级高于继承的规则。系统通过构造一个 URL 的所有规则的合并列表,其中最近(层次结构中距离最近)的规则位于列表头,来确定哪条规则优先。

  • 给定应用程序的一组合并的规则,ASP.NET 从列表头开始,检查规则直至找到第一个匹配项为止。ASP.NET 的默认配置包含向所有用户授权的 <allow users="*"> 元素。(默认情况下,最后应用该规则。)如果其他授权规则都不匹配,则允许该请求。如果找到匹配项并且它是 deny 元素,则向该请求返回 401 HTTP 状态代码。如果 allow 元素匹配,则模块允许进一步处理该请求。

还可以在配置文件中创建一个 location 元素以指定特定文件或目录,location 元素中的设置将应用于这个文件或目录。

请参见

dzz1001
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[聊天留言]穷小子asp.net留言板_qxzgbook(ASP.NET源码).rar
06-05
对于想要深入学习ASP.NET的开发者,可以参考MSDN官方文档、在线教程、Stack Overflow问答社区以及各种开源项目,如GitHub上的ASP.NET示例。通过实践这些资源中的例子,可以更好地理解和掌握ASP.NET的使用技巧。 ...
ASP.NET应用程序的安全方案(二)—授权
bn007的专栏
06-30 3706
摘要:本文ASP.NET应用程序授权的概念,介绍了各种授权模式并进行了比较,阐述了选择授权模式的机制。 关键字:授权 authorization ASP.NET WEB应用 1.1. 授权概念     任何成功的应用程序安全策略的基础都是稳固的身份验证和授权手段,以及提供机密数据的保密性和完整性的安全通讯。     授权authorization)过程负责控制通过了身份验证的客户端可以访问哪
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
最新发布
菜鸟的专栏
12-28 9932
C# ASP.NET Core Web API 身份授权(JWT)验证
入门系列-授权ASP.NET Core 授权)介绍
研究、探索、分享与成长
03-24 1157
授权用于在应用程序中判断是否允许用户执行某些特定的操作. ABP扩展了ASP.NET Core 授权, 将权限添加为自动策略并且使授权系统在应用服务同样可用. 所以ASP.NET Core授权的功能特性和它的文档在基于ABP的应用程序是可用的. 本文中着重介绍在ASP.NET Core授权功能基础上添加的功能. Authorize Attribute ASP.NET Core 定义...
网站域名授权
baheng0479的博客
09-16 845
网站(项目)域名授权方法, 第一步,建一个授权站或者在本站新键数据库表, 第二、添加域名授权方法。 第三、mysqli,原生sql查询链接数据库的表对比访问的(或者要打开的域名)是否存在数据库里,若存在说明已授权,否则未授权。 查询域名是否授权的代码如下: error_reporting(0);session_start(); $db_server='localh...
授权和鉴权
热门推荐
sjy8207380的专栏
02-28 1万+
1,前言 在这里总结一下工作中遇到的鉴权和授权的方法 ① 固定token的方案 通过在nginx或者代码中写死token,或者通过在限制外网访问的方式已来达到安全授权的方式 ② session方案 分布式会话方案原理主要是将关于用户认证的信息存储在共享存储中。当用户访问微服务时,用户数据可以从共享存储中获取。 ③ 客户端token方案 例如JWT,令牌在客户端生成,由身份验证服务进行...
asp.net教材
12-14
6. **安全性**:ASP.NET内置了身份验证和授权机制,如Windows身份验证、Forms身份验证等,可以确保只有授权用户访问特定资源。此外,还有防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)的安全措施。 7. **实验6 - ...
ASP.NET源码——WEB SQL数据库管理工具.zip
10-10
ASP.NET提供了内置的身份验证和授权机制,如Forms Authentication和Role-Based Authorization。源码中可能包含登录逻辑,以及权限控制,这对于理解Web应用的安全实践至关重要。 7. **错误处理与日志记录**: 在...
zuoye.rar_ASP.NET新闻网站_asp期末作业
09-14
ASP.NET社区活跃,有许多资源如MSDN、StackOverflow等帮助开发者解决问题。随着技术发展,ASP.NET Core作为跨平台的新一代框架,提供了更多的特性和性能提升,值得学习和掌握。 这个ASP.NET新闻网站项目是一个很好...
网站系统授权综合管理系统 v3.5.2
12-04
网站系统授权综合管理系统系统采用ASP+ACCESS开发,轻松稳定,防攻击和防下载处理。无需安装,只要上传到支持ASP的空间中即可使用。 系统亮点: 只需一段JS代码,就可以远程对网站域名进行授权管理。 跨平台使用,可在ASP,PHP,NET等各种程序系统上使用 真正
微信公众平台 网页授权获取用户基本信息(asp.net C#)
03-02
入口页面: wxProcess.aspx 【自己调通了非常喜悦。好东东,大家分享。 免积分,给个好评哦;)】 微信公众平台 网页授权获取用户基本信息 //获取从wxProcess.aspx传递过来的跳转地址reurl if (Request.QueryString["reurl"] != null && Request.QueryString["reurl"] != "") { reurl = Request.QueryString["reurl"].ToString(); } string code = ""; if (Request.QueryString["code"] != null && Request.QueryString["code"] != "") { //获取微信回传的code code = Request.QueryString["code"].ToString(); OAuth_Token Model = Get_token(code); //获取token OAuthUser OAuthUser_Model = Get_UserInfo(Model.access_token, Model.openid ); if(OAuthUser_Model.openid!=null && OAuthUser_Model.openid !="") //已获取得openid及其他信息 { //在页面上输出用户信息 Response.Write("用户OPENID:" + OAuthUser_Model.openid + "用户昵称:" + OAuthUser_Model.nickname + "性别:" + OAuthUser_Model.sex + "所在省:" + OAuthUser_Model.province + "所在市:" + OAuthUser_Model.city + "所在国家:" + OAuthUser_Model.country + "头像地址:" + OAuthUser_Model.headimgurl + "用户特权信息:" + OAuthUser_Model.privilege); //或跳转到自己的页面,想怎么处理就怎么处理 Response.Redirect(reurl); } }
Asp.NET认证和授权
12-05
.net提供了3种用户认证的方式,分别是Windows,Forms,Passport。这几种形式的定义可以在网站根目录下Web.config中的authentication节点中看见。Windows是默认的验证形式,它是根据机器的访问权限来判断的。
ASP.Net 后台通用权限系统 源码
03-16
完整一套C#后台权限管理系统。代码整洁,功能完整。质量超值
.NET软件授权源码-十分完整
03-21
.NET软件授权源码-十分完整
ASP.NET Core认证授权方案
dotNET跨平台
04-25 807
前言在前面我讲过基于token的权限认证,然后前几天有小伙伴私信我,怎么做一个身份认证也就是授权。在Asp.net Core常见的授权方式有:基于角色的授权,有基于声明的授权,有基于策略的授权, 这三种授权我就不做过多介绍了,大家可以去查阅官网, https://docs.microsoft.com/en-us/aspnet/core/security/authoriza...
Asp.net 身份验证、授权
08-13 987
1.       Asp.net是依存于IIS的一个服务,说到Asp.net的安全相关的话题当然要有一个整体上的思路:IIS接收—》IIS验证—》IIS授权---》ASP.net验证---》Asp.net授权---》资源返回给用户 IIS从网络上接收到一个HTTP WEB请求可以使用SSL技术来保证服务器的身份,此外SSL也可以提供一个安全通道来保护客户端和服务器端的机密数据的传送。IIS使用基本
asp.net 的认证 (authentication) 和授权 (authorization)
qqqgg的专栏
05-12 5270
1.authorization是用过的,用于访问webapi是否有访问权限。在默认管道模型的Module里,有3个(authentication)和2个authorization的Module &lt;httpModules&gt;            &lt;add name="OutputCache" type="System.Web.Caching.OutputCacheModule" /...
ASP.NET身份验证和授权
Harrison的学习博客
03-13 1483
目录 一、安全模式 二、ASP.NET支持的四种验证 三、认证和授权 四、Form的常用属性 五、对密码进行加密 六、对用户进行授权 七、设置用户访问权限 八、设置特定的文件和目录 一、安全模式 安全模式的必要性: 构造特殊的链接地址,导致文件内的数据泄露 数据库泄露 安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全性是关键(只有管理员才能登录管...
WebService(asp.net的asmx)调用安全认证
weixin_30750335的博客
03-02 515
WebService(asp.net的asmx)调用安全认证 2013-10-25 23:33:20|分类:ASP_NET|举报|字号订阅 WebService(asp.net的asmx)调用安全认证 1、Soap头: (1)、服务端: /// <summary> /// 安全头 /// &...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值