ASPNET安全性高级编程 第九章 窗体身份验证

最新推荐文章于 2019-07-11 11:20:47 发布
最新推荐文章于 2019-07-11 11:20:47 发布
阅读量636 收藏
点赞数
分类专栏: ASP.NET安全 文章标签: 编程 authentication credentials asp.net forms object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tielu0144/article/details/1557576
版权
 

9.1 使用窗体身份验证的原因

Cookie身份验证对于Web开发人员来说是一个很有吸引力的选择
1 可以在应用程序中保存对用户进行身份验证时用到的所有代码
2 我们可以完全控制登录窗体的外观
3 适用于使用任何浏览器的用户
4 允许我们决定如何存储用户信息

9.1.1 不使用窗体身份验证的原因
1 对于进行登录的用户,我们必须自己创建界面
2 必须亲自保存用户的详细资料
3 窗体身份验证所保护的资源必须由ASP.NET处理
4 我们必须单独防范网络通信量拦截

9.1.2 不用亲自实现Cookie身份验证
使用窗体身份验证模块而不是创建相应的程序块还有一下优点
1 它可以维护身份验证cookie的安全性
2 窗体身份验证是一个经过充分测试的系统
3 集成ASP.NET安全性框架

9.2 窗体身份验证的工作原理

9.3 窗体身份验证API
9.3.1 FormAuthenticationModule HTTP模块
窗体身份验证是一个HTTP模块
使用窗体身份验证时我们不直接使用此模块

9.3.2 FormAuthentication类
FormAuthenticationModule是一个HTTP模块用于后台处理
而FormsAuthentication是一个类

Authenticate方法允许我们根据存储在web.config文件中的内容对用户名和密码进行检查。如果在web.config文件外部存储凭证,就不能使用Authenticate,而必须使用我们自己的编码对它们进行检查。

RedirectFromLoginPage类
1 为用户创建一个身份验证票据
2 对身份验证的信息进行加密
3 创建一个cookie以保存被加密的票据信息
4 向HTTP响应添加cookie,并把它发送到客户
5 在到达登录之前,把用户重定向回他们所请求的页面
GetRedirectUrl方法类获取用户最初请求的URL
SignOut方法利用当前HTTP响应立即终止客户的身份验证cookie

9.3.3 Formaldentity类

Formsldentity类是Identity的实现。
Formsidentity和GenericIdentity之间最重要的区别在于前者可以通过它的Ticket属性提供身份验证票证

9.3.4 FormsAuthenticationTicket类

9.4 实现窗体身份验证

1 在web.config文件中配置窗体身份验证
2 创建登录窗体以便用户输入凭证

9.4.1 重点关注SSL
大多数浏览器所支持的对网络通信量进行加密的方法是SSL
SSL保护的URL地址是以HTTPS://开头而不是HTTP://

使用SSL之前,必须获得一个Server Certificate(服务器证书),把它安装到Web服务器

Request.IsSecureConnection属性可以显示当前请求是否在使用SSL。这个属性可以有效保证没有敏感数据被发送到非安全通道。

9.42 配置窗体身份验证

<authentication mode="forms">
<forms name="DansApplication" loginUrl="login.aspx"
timeout="30"
path="/"
protection="all"
>
</forms>
</authentication>
元素只能在应用程序根文件夹中的web.config中使用
一个应用程序只能定义一个身份验证类型

name特性可以定义身份验证cookie的名称
LoginUrl特性所定义的页面是为登录应用程序而把用户重定向到的页面
如果不想把SSL应用到整个站点 还可以把它应用到安全子文件夹,并在窗体身份验证的配置中使用loginUrl="secure/login.aspx"
timeout特性可以设置身份验证cookies所持续的时间长度
身份验证cookie的路径非常关键,一些浏览器中存在有关cookie路径的问题表明,把路径设置为"/"(整个站点内)通常来说是好主意

Protection特性允许我们为身份验证cookies配置两种类型的保护
Encryption 对cookies的内容进行加密
Validation 向cookie的内容添加Message Authentication Code(MAC,消息验证代码),以便服务器判断cookie是否被篡改。

1 向web.config添加凭证
<authentication mode="Forms">
<forms name="DansApplication"
loginUrl="login.aspx"
timeout="30"
path="/"
protection="ALL"
>
<credentials passwordFormal="Clear">
<user name="dan" password="qianqian">
<user name="jenny" password="qianqian">
</credentials>
</forms>
</authentication>

passwordFormat特性可以向ASP.NET指出我们是否利用了Hash算法来保护密码

2 拒绝匿名用户访问

<authorization>
<deny users="?"/>
</authorization>
<deny>标记只能告知ASP.NET我们希望拒绝匿名用户的访问(用"?"描述)

9.4.3 设置登录页面

登录窗体有两个主要内容

1 用以输入用户凭证的元素(通常是指用户名和密码)
2 如果凭证正确无误,代码就会创建一个身份验证票证并会在身份验证cookie中保留这个票证 。然后把用户重定向到把它们发送到登录窗体的URL

private void log_Click(object sender, System.EventArgs e)
  {
   //check the credentials
   if(FormsAuthentication.Authenticate(name.Text,pass.Value))
   {
    //set up the authentication cookie and redirect
    FormsAuthentication.RedirectFromLoginPage(name.Text,false);
   }
   else{
   //make the error message visible
    err.Visible=true;
   }
  }

private void Button1_Click(object sender, System.EventArgs e)
  {//注销
  //expire the authentication cookie
   FormsAuthentication.SignOut();
  }

2 向用户控件添加登录/注销功能

private void Page_Load(object sender, System.EventArgs e)
  {
   // 在此处放置用户代码以初始化页面
   //check whether the user is logged in
   if(Request.IsAuthenticated==true)
   {
    Displaylogout();
   }
   else{
   Displaylogin();
   }
  }

  #region Web 窗体设计器生成的代码
  override protected void OnInit(EventArgs e)
  {
   //
   // CODEGEN: 该调用是 ASP.NET Web 窗体设计器所必需的。
   //
   InitializeComponent();
   base.OnInit(e);
  }
  
  /// <summary>
  ///  设计器支持所需的方法 - 不要使用代码编辑器
  ///  修改此方法的内容。
  /// </summary>
  private void InitializeComponent()
  {
   this.loginButton.Click += new System.EventHandler(this.loginButton_Click);
   this.logoutButton.Click += new System.EventHandler(this.logoutButton_Click);
   this.Load += new System.EventHandler(this.Page_Load);

  }
  #endregion
  private void Displaylogin(){
  login.Visible=true;
   logout.Visible=false;
  }
  private void Displaylogout()
  {
   login.Visible=false;
   logout.Visible=true;
   nameLabel.Text=Context.User.Identity.Name;
  }

  private void loginButton_Click(object sender, System.EventArgs e)
  {//登录
   if(FormsAuthentication.Authenticate(name.Text.Trim(),pass.Text.Trim())){
   FormsAuthentication.SetAuthCookie(name.Text,false);
    Response.Redirect(Request.Url.LocalPath);
   }
  }

  private void logoutButton_Click(object sender, System.EventArgs e)
  {//登出
  FormsAuthentication.SignOut();
   Displaylogin();
  }

9.4.4 为存储器散列密码

web.config 文件中的散列密码

9.4.5 保留身份验证Cookie

FormsAuthentication.SetAuthCookie(UsernameTextBox.Text,true)
FormsAuthentication.RedirectFromLoginPage(UsernameTextBox.Text,true)

持久性cookie不会受到在web.config文件<forms>元素中设置的超时特性的影响

持久性为10天的cookie
HttpCookie authenticationCookie=FormsAuthentication.GetAuthCookie(UsernameTextBox.Text,true);
authenticationCookie.Expires=DateTime.Now.AddDays(10);
Response.Cookies.Add(authenticationCookie);
Response.Redirect(FormsAuthentication.GetRedirectUrl(UsernameTextBox.Text,true));

9.4.6 使用其他的凭证存储器

1 凭证存储器的接口

2 把凭证存储在独立的XML文件中

3 在数据库中存储凭证

SQL SERVER中的SELECT默认行为是不区分大小写

类文件:

namespace ASPNETSafe
{
 /// <summary>
 /// FormClass 的摘要说明。
 /// </summary>
 public class FormClass
 {
  SqlConnection Connection;
  public FormClass()
  {
   //
   // TODO: 在此处添加构造函数逻辑
   //
  }
  public SqlConnection DatabaseCredentialsStore(SqlConnection connection){
  Connection=connection;
   return Connection;
  }
  public bool Authenticate(string username,string password){
  bool isAuthenticated=false;
   try{
   Connection.Open();
    string sql="select * from SAFE where name='"+username+"' and pass='"+password+"'";
    SqlCommand cmd=new SqlCommand();
    cmd.Connection=Connection;
    cmd.CommandText=sql;
    SqlDataReader dr=cmd.ExecuteReader();
    if(dr.Read()){
     if((string) dr["pass"].ToString()==password){
     isAuthenticated=true;
     }
    }
    dr.Close();
    Connection.Close();
   }
   catch(Exception error){
   return false;
   }
   return isAuthenticated;
  }
 }
}

登录代码:
private void loginButton_Click(object sender, System.EventArgs e)
  {//登录
   string connectionString="server=localhost;database=ASPNETSAFE;uid=sa;pwd=sa";
   SqlConnection conn=new SqlConnection();
   conn.ConnectionString=connectionString.ToString();
   FormClass Fc=new FormClass();
   Fc.DatabaseCredentialsStore(conn);
   if(Fc.Authenticate(name.Text.Trim(),pass.Text.Trim())){
   FormsAuthentication.SetAuthCookie(name.Text,false);
   Response.Redirect(Request.Url.LocalPath);
   }
}

4 使用Windows凭证

5 其他凭证存储器

游戏人生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net中的身份验证(完整篇之二:asp.net的身份验证过程)
weixin_30570101的博客
05-30 66
在《asp.net中的身份验证(完整篇之一:创建asp.net的身份验证方式)》中介绍了如何通过修改web.config文件来创建身份验证。修改完web.config文件之后,网站就可以使用身份验证方式来验证用户身份了。那么,整个身份验证的过程是怎么样的呢? 前面说过,在asp.net中,身份验证过程分为两部分,一部分是IIS中的身份验证,只有通过了IIS中的身份验...
ASP.Net 2.0 身份验证机制详解
03-28 590
本篇文章介绍了在ASP.Net 2.0如何做身份验证,并且讲解了IIS和ASP.Net2.0身份验证机制是如何结合在一起的。我们还会详细讲解一下2.0中关于身份验证的一个类:FormsAuthenticationModule。转贴自:http://www.aspxclub.com/ContentView/3689/index.aspx  综述当某一个用户使用用户名成功登陆网
什么是身份验证
Nearby Love Farway You
06-25 544
 这种验证方式使用客户端重定向功能,将未通过身份验证的用户转发到特定的登录,要求用户输入其凭据信息(通常是用户名和密码)。这些凭据信息被验证后,系统生成一个身份验证票证(ticket)并将其返回客户端。身份验证票证可在用户的会话期间维护用户的身份标识信息,以及用户所属的角色列表(可选)。
验证
weixin_34174105的博客
04-16 107
不管是动态网站,还是其它B/S结构的系统,都离不开表单 表单做为客户端向服务器提交数据的载担当相当重要的角色. 这就引出了一个问题,提交的数据合法吗?摆在我们面前的问题就是验证这些数据 保证所提交的数据是合法的.所以,我们写了一个大堆的验证函数.当我们开始新的一个 项目的开发时,我们又得写一大堆的验证函数,然后再调试这一大堆的函数... 本文将介绍一种方法来提高我的代码的可重用性,提高我们的开...
asp.net中的身份验证(最简单篇)
01-02
在创建网站中,常常会使用到身份验证。asp.net中内置了几种身份验证的方式,如Windows、Froms、Passport等。这几种身份验证的方式各有不同。一般来说,网站的身份验证方式都会经过以下几个步骤: 1、输入用户名和...
ASPNET验证模式及其在用户身份甄别中的应用.pdf
11-19
ASPNET验证模式及其在用户身份甄别中的应用.pdf
asp.net中几种常用的身份验证方法总结
01-01
因为web应用程序非常特殊,和传统的C/S程序不同,默认情况下(不采用任何身份验证方式和权限控制手段),当你的程序在互联网/局域网上公开后,任何人都能够访问你的web应用程序的资源,这样很难保障应用程序安全性。...
第九章ASPnet服务器控件.pptx
10-11
第九章ASPnet服务器控件.pptx
ASPNET45编程
05-21
asp.net 4.5asp.net 4.5编程asp.net 4.5编程asp.net 4.5编程
ASP.NET安全性高级编程(PDG)
06-12
ASP.NET安全性高级编程(PDG)
身份验证
知识厚苑
06-27 525
       身份验证使用用户登录到站点时创建的身份验证票,然后在整个站点内跟踪该用户。身份验证票通常包含在一个 Cookie 中。然而,ASP.NET 2.0 版支持无 Cookie 身份验证,结果是将票证传入查询字符串中。   如果用户请求一个需要经过身份验证的访问的页,且该用户以前没有登录过该站点,则该用户重定向到一个配置好的登录页。该登录页提示用户提供凭据(通常是用户名和密码)
关于进行Asp.net验证的过程说明
kingwkb的专栏
05-20 1872
   开发asp.net 程序时最常用的验证模式就是基于身份验证模式,结合global.asa和webconfig可以快速实现此种机制。笼统的说,该过程是先建一个文件夹,然后把要保护的页面放进去,接着设置一下web,config,这样就完成了保护。如果你要访问这个文件夹,就会被强制转到预先设定的登录页面,你填上正确的用户名和密码,提交,系统验证后,就把你的登陆信息写到cookie里面,这样你
ASPNET安全性高级编程 第五章 实现密码策略
徜徉在微软的陷阱
04-09 182
1. 选取密码的最好方法是把A-Z a-z 0-9 之间的字符和几个特殊字符进行随机组合2 密码的最小长度6-7位(服务器端自定义验证程序)实例代码private void CustomValidator1_ServerValidate(object source, System.Web.UI.WebControls.ServerValidateEventArgs args)  {  string
button1.show()和button1.visible=false以及button1.Hide()的区别
勿忘初心,安得始终
06-08 2775
1、 button1.show(),button1.Hide()是方法 button1.visible是属性 2、 hide()方法可以用show()重新生成打开,占用的资源更少,但其占用的内存可以被其它程序再用。visible用true重现,一直在内存中的。button1.visible=false,隐藏 但不会释放内存 。
Asp.net中基于Forms验证的角色验证授权
chnking的专栏
06-11 3294
Asp.net中基于Forms验证的角色验证授权Asp.net的身份验证有有三种,分别是"Windows | Forms | Passport",其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cooki
求助,设置按钮visible属性为false,不起作用
qq_34067265的博客
07-11 3770
string sq1 = string.Format("select * from dbo.sumupdate"); DataSet ds1 = new DataSet(); SqlDataAdapter da = new SqlDataAdapter(sq1, connection1); da.Fill(ds1, "dz"); ...
思胜.net高级培训aspnet
最新发布
09-17
思胜.net高级培训ASP.NET还将涵盖一些高级主题,如性能优化、安全性和缓存管理等。学员将学习如何优化网站的性能,如减少页面加载时间和数据库访问时间等。他们还将学习如何保护网站的安全,如防止SQL注入和跨站脚本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值