http modules在.net安全认证中的作用

最新推荐文章于 2018-07-18 11:06:00 发布
最新推荐文章于 2018-07-18 11:06:00 发布
阅读量80 收藏
点赞数
文章标签: 数据库
介绍一下如何在asp.net中使用http moudle创建自定义的安全认证

首先了解asp.net对web request的处理过程
http modules是一个实现了IHTTPModule接口基础类. 用来处理Web Request.
asp.net内置的Modules有
Output Cache Module
Windows Authentication Module
Forms Authentication Module
Passport Authentication Module
URL Authorization Module
File Authorization Module
我们可以修改这些现有的modules来增加新的功能,也可以新增modules来自定义功能.比如,我们可以自定义安全模块利用活动目录.

modules在http application event触发时被执行
IHTTP Module有以下两个方法
   Init( HttpApplication objApplication)
          为HttpApplication Events注册event handler.
   Dispose()
          Release the resources.

实现自定义custom http module的步骤
1.创建一个实现了IHTTPModule接口的类
using  System;
 using  System.Web;
 namespace  CustomModule
{
 public   class  CustomAuthnModule : IHttpModule
{
 public  CustomAuthnModule()
{
}
 public   void  Init(HttpApplication objHttpApp)
{
}
 public   void  Dispose()
{
}
}

2.在Init方法中注册Events
public   void  Init(HttpApplication objHttpApp)
{
objHttpApp.AuthenticateRequest += new  EventHanlder( this .CustomAuthentication);

3.编写注册event的处理函数
private   void  CustomAuthentication ( object  sender,EventArgs evtArgs)
{
HttpApplication objHttpApp = (HttpApplication) sender;
objHttpApp.Context.Response.Write( " Custom Authentication Module is Invoked " );

4.在GAC中加入DLL
1)创建一个强名称文件
sn –k key.snk
2)将key文件加入到AssemblyInfo.cs的属性AssemblyKeyFile中
3)gacutil /i CustomModule.dll

5.在web.config注册HttpModule
< httpmodules  />< httpModules >
< add  name  ="ModuleName"  type ="Namespace.ClassName" ,"AssemlbyName" >
</ add  >
</ httpModules >   </ httpModules >

实例:一个基于数据库身份认证的自定义Module
using  System;
 using  System.Web;
 using  System.Data;
 using  System.Data.SqlClient;
 namespace  CustomAuthorizationModule
{
 public   class  CustomAuthorizationModule : IHttpModule
{
 public  CustomAuthorizationModule()
{

}
 public   void  Init(HttpApplication objApp)
{
objApp.AuthorizeRequest  +=   new
EventHandler( this .CustomDBAuthorization);
}
 public   void  Dispose()
{
}
 private   void  CustomDBAuthorization( object  sender,EventArgs
evtArgs)
{
HttpApplication objApplication  = (HttpApplication)sender;
 string  sAppPath,sUsrName;
 bool  bAuthorized  =   false ;
sAppPath = objApplication.Request.FilePath.ToString();
sUsrName = objApplication.Request.Params[ 0 ].ToString();
bAuthorized  =  DBAuthorize(sUsrName,sAppPath);
 if (bAuthorized)
{
objApplication.Context.Response.Write( " Authorized User " );
}
 else
{
objApplication.Context.Response.Write( " UnAuthorized User " );
objApplication.Response.End();
}
}
 private   string  DBAuthorize( string  sUsrName, string  sAppPath)
{
SqlConnection sqlConn = new  SqlConnection()
sqlConn.ConnectionString = " user id=sa;Pwd=password;Data Source=localhost;Initial

Catalog = Northwind " );
SqlCommand sqlCmd = new  SqlCommand();
SqlParameter sqlParam = new  SqlParameter();
sqlCmd.Connection = sqlConn;
sqlConn.Open();
sqlCmd.CommandType = CommandType.StoredProcedure;
sqlCmd.CommandText = " sAuthorizeURL " ;
sqlParam  =  sqlCmd.Parameters.Add ( " @UserName " ,SqlDbType.VarChar, 30 );
sqlParam  =  sqlCmd.Parameters.Add( " @URLPath " ,SqlDbType.VarChar, 40 );
sqlCmd.Parameters[ " @UserName " ].Value = sUsrName;
sqlCmd.Parameters[ " @URLPath " ].Value = sAppPath;
 string  res = sqlCmd.ExecuteScalar().ToString();
 if (res  ==   " Authorized " )
{
 return   true ;
}
 else
{
 return   false ;
}

}
}


转自:http://www.cnblogs.com/jecray/archive/2007/05/27/761444.html
感谢原作者:jecray  !!
weixin_34015860
关注
Asp.net的web.config配置文件(转)
xuanmu
03-27 575
最近开始学习.NET的开发,首先碰到的就是web.config的配置问题,把网上大虾的资料转发记录一下,以备不时之需。 原贴路径如下:http://blog.csdn.net/hbqhdlc/article/details/8164521 此处只摘录比较重要的部分: web.config是一个XML文件,用来储存Asp.net Web应用程序的配置信息,包括数据库连接字符、身份安全验证等,可以出现...
ASP.NET通用权限验证的实现代码思路
10-23
1. 导入参数:在权限验证流程的开始,首先需要从请求导入相关的参数信息,如用户的身份信息(通常是从认证模块获得)、当前请求的URL等。这些信息将被用来判断用户是否有权访问所请求的资源。 2. 解析XML:***...
改变您的HTTP服务器的缺省banner CustomHttpModules_4.0.dll
08-24
服务器扫描发现漏洞,其一个是: 可通过HTTP获取远端WWW服务信息 [Microsoft-IIS/8.5] 漏洞描述 本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下一步的攻击。 解决方案 NSFOCUS建议您采取以下措施以降低威胁 打开网页,审查代码,我们发现这几个标头明显标明我们的服务器和平台信息,存在安全风险,必须要隐藏。当前这个版本是.net4.0的。使用时,将文件名,修改为:CustomHttpModules.dll。 拷贝DLL到网站BIN目录,修改网站的 Web.config
改变您的HTTP服务器的缺省banner
weixin_30580943的博客
01-23 2709
(以下方法仅针对 IIS Asp.net) 服务器扫描发现漏洞,其一个是: 可通过HTTP获取远端WWW服务信息 [Microsoft-IIS/8.5] 漏洞描述 本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下一步的攻击。解决方案 NSFOCUS建议您采取以下措施以降低威胁 打开网页,审查代码,我们发现这几个标头...
【MVC-自定义HttpModule处理】
HilaryHe
04-27 7072
HttpModule是向实现类提供模块初始化和处置事件。 当一个HTTP请求到达HttpModule时,整个ASP.NET Framework系统还并没有对这个HTTP请求做任何处理,也就是说此时对于HTTP请求来讲,HttpModule是一个HTTP请求的“必经之路”,所以可以在这个HTTP请求传递到真正的请求处理心(HttpHandler)之前附加一些需要的信息在这个HTTP请求信息之上,
改变您的HTTP服务器的缺省banner CustomHttpModules_2.0.dll
08-24
服务器扫描发现漏洞,其一个是: 可通过HTTP获取远端WWW服务信息 [Microsoft-IIS/8.5] 漏洞描述 本插件检测远端HTTP Server信息。这可能使得攻击者了解远程系统类型以便进行下一步的攻击。 解决方案 NSFOCUS建议您采取以下措施以降低威胁 打开网页,审查代码,我们发现这几个标头明显标明我们的服务器和平台信息,存在安全风险,必须要隐藏。当前这个版本是.net2.0的。使用时,将文件名,修改为:CustomHttpModules.dll。 拷贝DLL到网站BIN目录,修改网站的 Web.config
修改iis的banner实现操作系统版本的隐藏
07-17
构建高安全级别的主机系统的时候,对于NT系统往往有一个很尴尬的地方就是IIS的返回BANNER会很容易的泄露当前主机上NT的版本。不要轻易的泄露你的系统信息,对于真正的入侵尽量拖延和扰乱入侵者的视线。
了解.NET安全编码实践
.NET安全编码概述 ## 1.1 什么是安全编码? 安全编码是指在软件开发过程,为了防止黑客攻击和数据泄露,采取一系列安全措施和最佳实践来确保代码的健壮性和安全性。通过安全编码,可以有效防范诸如SQL注入、跨...
约会应用程序:.NET 5和ANGULAR的约会应用程序
02-22
.NET 5,我们可以使用ASP.NET Core来创建后端服务,包括用户认证、数据存储以及与Angular前端交互的API。对于用户认证,我们可以利用ASP.NET Core Identity或JWT(JSON Web Tokens)实现基于令牌的身份验证,...
Asp.Net服务器发送HTTP标头后无法设置内容类型的问题解决
10-19
主要给大家介绍了Asp.Net服务器发送HTTP标头后无法设置内容类型问题的解决方法,文介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
在ASP.NET MVC集成Web API开发与应用
在本章,我们将介绍ASP.NET MVC框架、Web API以及它们之间的关系和优势。 ## 1.1 什么是ASP.NET MVC框架? ASP.NET MVC(Model-View-Controller)是微软推出的一种基于模型-视图-控制器模式的Web应用程序框架。...
在asp.net 使用httpmodules对网页进行处理
baimanmu3398的博客
07-18 120
https://www.cnblogs.com/sunliyuan/p/5876253.html 转载于:https://www.cnblogs.com/KQNLL/p/9328035.html
ASP.NET-自定义HttpModule与HttpHandler
weixin_34388207的博客
05-20 189
在之前的ASP.NET是如何在IIS下工作的这篇文章介绍了ASP.NET与IIS配合工作的机制,在http请求经过一系列处理后,最后到达ASP.NET管道,这时,就是Http ModulesHttpHandler出场的时候了。   再来摆出管道工作时序图来一看: HttpModule HttpModule是类似于过滤器的作用,可以没有,也可以有任意个,每一个都可...
创建和注册自定义 httpModules 模块
weixin_34268610的博客
10-04 180
http://msdn.microsoft.com/zh-cn/ms227673.aspx ASP.NET 演练:创建和注册自定义 HTTP 模块 本演练演示自定义 HTTP 模块的基本功能。对于每个请求,都需要调用 HTTP 模块以响应 BeginRequest 和 EndRequest 事件。因此,该模块在处理请求之前和之后运行。 如果 ASP.NET 应用程序是在 I...
实现IHttpModule接口获取Session来实现页面访问日志功能。
weixin_34054931的博客
03-07 156
我们在开发企业Web应用程序时经常需要对用户的操作记录日志,以便在发生突发事件后有据可查,比如要对用户访问的每一个页面都做日志记录。通常的做法可能是编写一个记录日志的方法(如:AddAccessLog),在每一个页面的Page_Load事件调用这个AddAccessLog方法,从而达到记录页面访问日志的目的。这样的方法在页面较少的时候可行,但是当项目变得越来越大,需要记录日志的页面越来越多的时候...
ideamodules有什么作用
最新发布
06-03
在 IntelliJ IDEA Modules 是一个关键的概念,它们用于组织和管理项目的不同部分。Modules 可以包含源代码、资源文件、依赖项、测试代码等。每个 Module 都有其自己的类路径和依赖项,可以被单独编译和打包。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值