ASP.NET安全验证

一.安全的必要性

1.构造特殊的链接地址，导致文件内的数据泄露；

2.数据库泄露；

3.安全防范的首要策略：所有的HTTP访问都要经过IIS，所以限制IIS的安全是关键。

二.ASP.NET的安全模式

1，根据所请求资源的类型,IIS能够自己处理请求，也可以不自己处理请求；

2，如果资源请求一个ASP页面，则IIS将请求经过身份验证用户（或匿名用户）的安全令牌一起传递给ASP.NET,接下来发生的事情就取决与ASP.NET的配置；

3，ASP.NET支持的4种授权方法：

a，Window：IIS验证，在内联网环境中非常有用；

b，Passport：微软集中式身份验证，一次登录便可访问所有成员站点，需要收费；

c，From：窗体验证，验证账号或密码，WEB编辑最佳最流行的验证方法；

d，None：表示ASP.NET自己根本不执行身份验证，完全依赖IIS身份验证。

三.认证和授权机制

1.认证是确定用户身份的过程。在用户通过了身份验证后，开发人员就可以确定该用户是否有权继续操作。如果没进行身份验证，就不能进行实体的授权；

2.授权是确定已验证的用户是否有权访问应用程序中的某个部分，某个点或只访问应用程序提供的特定数据集。

四.窗体的授权模式

1.允许用户访问整个应用程序和其特定资源的一种流行的模式；

2，IIS接受请求，但不进行处理，而传递给ASP.NET应用程序

五.froms元素

1，froms元素的主要属性

2，forms验证示例

3.forms验证总结

a，用户利用forms验证访问受保护资源，包括一下4个步骤：

*，用户请求受保护页面Index.aspx；

*，Http模块调用forms验证服务截取来自用户的请求，并检查其中是否包含用户凭据；

*，如果没有发出任何用户凭据，将自动转向用户登录页面Login.aspx;

*,原请求页面地址Index.aspx将以ReturnUrl值的形式，附加在登录页面Login.aspx的URL的地址后，当用户通过验证后，应用程序根据ReturnUrl值进行页面重定向，以便访问Index.aspx。

六.对密码进行加密

1，Clear：密码存储为文明，用户的密码直接与这个值比较。

2，MD5：密码使用散列摘要进行存储，使用MD5算法进行散列，再与这个值进行相等比较。这个算法比SHA1的性能好。

3，SHA1：密码使用SAH1散列摘要来存储。在验证证书时，用户密码使用SHA1算法进行散列，再与这个值进行相等比较，这个算法的安全性较高。

七.authorization对用户进行授权

1，authorization配置节用来对用户进行授权，在现实用户授权过程中，应该遵循以下两个应用规则：

a，一是位于较低目录级别的配置文件中包含的规则，优先于位于较高目录级别的规则；

b，二是对于给定URL的一组合并的规则，系统从列头开始，检查规则直到找到第一个匹配项为止。

2.authorization配置

a，deny阻止访问用户；allow允许访问用户；

b，？代表匿名用户，*代表任意用户；

c，多个用户之间用“，”隔开。

设置用户访问权限

location设置特定的文件或目录

ASP.NET安全验证，到这里就结束了，希望能给你带来帮助，谢谢观看！