ASP.NET身份验证和授权

最新推荐文章于 2024-06-07 11:44:21 发布
最新推荐文章于 2024-06-07 11:44:21 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: .NET 文章标签: asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44337241/article/details/104847948
版权

目录

一、安全模式

二、ASP.NET支持的四种验证

三、认证和授权

四、Form的常用属性

五、对密码进行加密

六、对用户进行授权

七、设置用户访问权限

八、设置特定的文件和目录

一、安全模式

安全模式的必要性:

  • 构造特殊的链接地址,导致文件内的数据泄露
  • 数据库泄露
  • 安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全性是关键(只有管理员才能登录管理员的界面)

二、ASP.NET支持的四种验证

  • Windows: IIS验证,在内联网环境中非常有用
  • Passport: 微软集中式身份验证,一次登录便可访问所有成员站点,需要收费
  • Form: 窗体验证,验证帐号/密码,Web编程最佳最流行的验证方式
  • None: 表示ASP.N ET自己根本不执行身份验证,完全依赖IS身份验证

三、认证和授权

  • 认证是确定用户身份的过程。在用户通过了身份验证后,开发人员就可以确定该用户是否有权继续操作。如果没有进行身份验证,就不能进行实体的授权
  • 授权是确定已验证的用户是否有权访问应用程序中的某个部分、某个点或只访问应用程序提供的特定数据集

授权流程

四、Form的常用属性

form的常用属性
属性说明
name这是赋予 cookie的名字,该cookie用于在请求之间保存用户。该默认值是 .ASPXAUTH
loginUrl如果没有找到有效的验证 cookie,就指定请求重定向的URL
protection

指定要应用于验证cookie的保护级别,它有4个设置

All:应用程序使用数据有效性验证和加密机制来保护 cookie。这是默认设置。

None:不加密 cookie。

Encryption:加密 cookie,但不对它进行数据有效性验证。

Validation:进行数据有效性验证,但不加密 cookie

path指定应用程序所存储cookie的路径。在大多数情况下应用/,它是默认设置
timeout        指定cookie过期的时间(分钟),其默认值为30分钟
cookieless制定在进行验证和授权过程中,基于窗体的身份验证过程是否使用cookie
defaultUrl指定默认的URL
domain指定要与窗体身份验证一起发送的域名

from验证示列:

<authentication mode="Forms">
      <forms name="Users" loginUrl="Login.aspx" defaultUrl="Home.aspx">
        <credentials passwordFormat="Clear">
          <user name="LiaoHongSi" password="111111"/>
        </credentials>
      </forms>
</authentication>
protected void btn_Login_Click(object sender, EventArgs e)
{
            string name = this.txt_Name.Text;
            string pwd = this.txt_Pwd.Text;
            if (FormsAuthentication.Authenticate(name,pwd))
            {
                //验证成功后重定向到首次访问的页面
                FormsAuthentication.RedirectFromLoginPage(name,false);
            }
            else
            {
                Response.Write("<script>alert('登录失败!')</script>");
            }
}

五、对密码进行加密

  • Clear:密码存储为明文。用户的密码直接与这个值比较。
  • MD5:密码使用散列摘要进行存储。使用MD5算法进行散列,再与这个值进行相等比较。这个算法比SHA1的性能好。
  • SHA1:密码使用SHA1散列摘要来存储。在验证证书时,用户密码使用SHA1算法进行散列,再与这个值进行相等比较。这个算法的安全性最高

以MD5为列:

protected void btn_Login_Click(object sender, EventArgs e)
        {
            string name = this.txt_Name.Text;
            string pwd = this.txt_Pwd.Text;
            if (FormsAuthentication.Authenticate(name,pwd))
            {
                FormsAuthentication.RedirectFromLoginPage(name,false);
            }
            else
            {
                Response.Write("<script>alert('登录失败!')</script>");
            }
}
<authentication mode="Forms">
      <forms name="Users" loginUrl="Login.aspx" defaultUrl="Home2.aspx">
        <credentials passwordFormat="MD5">
          <user name="admin" password="202CB962AC59075B964B07152D234B70"/>
          <user name="test" password="E10ADC3949BA59ABBE56E057F20F883E"/>
          <user name="leo" password="E10ADC3949BA59ABBE56E057F20F883E"/>
        </credentials>
      </forms>
</authentication>

六、<authorization>对用户进行授权

  • <authorization>配置节用来对用户进行授权,在实现用户授权过程中,应该遵循以下两个应用规则: 一是位于较低目录级别的配置文件中包含的规则,优先于位于较高目录级别的规则二是对于给定URL的一组合并的规则,系统从列表头开始,检查规则直到找到第一个匹配项为止

  • <authorization>配置:
  1. deny阻止访问用户
  2. allow允许访问用户
  3. ?代表匿名用户
  4.  *代表任意用户
  5. 多个用户之间用“,”隔开

七、设置用户访问权限

八、<location>设置特定的文件和目录

 

爱敲代码的Harrison
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
C#.Net中的加密解密(AES、DES、RSA、MD5)、数字证书、HTTPS
ananlele_的专栏
08-30 2065
一、信息安全的基本概念,以及为什么要使用加密? 1、信息安全的定义 保密性(Confidentiality)只有你自己和你允许的人能看到相关的信息。 完整性(Integrity)信息收发过程中没有被破坏或篡改过。 可获得性(Availability)自己在需要的时候能够访问到信息或者保证对方能够收到你的信息。 2、如何保证安全 认证(Authentication)认证就是证...
ASP.NET编程知识】asp.net身份验证方式介绍.docx
05-19
ASP.NET 身份验证方式可以分为三种:匿名身份验证、基本身份验证和集成的 Windows 身份验证。 匿名身份验证 匿名身份验证ASP.NET 中的一种默认身份验证方式。当应用程序使用匿名身份验证时,IIS 将创建一个 ...
ASP.NET身份验证授权
06-11
对于ASP.NET身份验证授权的讲解 ASP.NET应用程序安全概述 用户账户模拟 基于Windows的身份验证 基于表单的身份验证 ASP.NET 2.0的成员资格和角色管理器 安全性相关的控件 ASP.NET网站管理工具 成员资格和角色管理API编程
.net 下的身份认证与授权的实现
最新发布
鸡毛掸子
06-07 1373
授权有这三种类型简单授权:只要登录就能访问,在Controller或者Action上加个[Authorize]就行基于角色的授权:特定角色能访问基于策略的授权:顾名思义基于角色的授权.另外一个问题就是在实际编程过程中,我们的代码有不同的模式,不同的分层或者在不同的项目之中,如何在不同的地方取得用户信息,特别是业务系统,根据操作员的id来处理不同的业务权限逻辑,这是很多业务应用所关心的。这里所说的基本概念,是微软框架下的技术概念,对于一些通识的概念,比如以下内容,假定对这些都是熟悉的,
Asp.Net WebApi Token验证 权限验证
qq_37935177的博客
07-03 2910
原文地址 https://www.cnblogs.com/w5942066/p/12055542.html 作者 魏杨杨 1、前言 WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用。Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能。我上次写的《Asp.Net MVC WebAPI的创建与前台Jquery ajax后台HttpClient调用详解》这种跟明显安全性不是那么好,于是乎这个就来了 ,用户需要访问的API都必须带有票据过来,说白了就是登陆之后含有用户
RSA 实现数据加密解密以及Token管理
热门推荐
纸上得来终觉浅,绝知此事要躬行
08-02 1万+
1.RSA加密工具 package com.wlyd.fmcgwms.util.api; import java.io.ByteArrayOutputStream; import java.security.Key; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPa
ASP.NET的安全模式(身份验证
岳岩的编程博客
04-12 544
ASP.NET安全模式根据所请求资源的类型,IIS能够自己处理请求,也可以不自己处理请求。如果资源请求一个ASPX页面,则IIS将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给ASP.NET。接下来要发生的事情就取决于ASP.NET的配置。ASP.NET支持3种授权方法:Windows,Passport和Form。表示ASP.NET自己根本不执行身份验证,完全依赖于IIS身份验证。在这种情...
表单验证
iceblue2005gather的专栏
04-28 2051
如何运用 Form 表单认证  ASP.NET 的安全认证,共有“Windows”“Form”“Passport”“None”四种验证模式。“Windows”与“None”没有起到保护的作用,不推荐使用;“Passport”我又没用过,唉……所以我只好讲讲“Form”认证了。我打算分三部分: 第一部分 —— 怎样实现From 认证; 第二部分 —— Form 认证的实战运用;
ASP.NET身份验证管理
04-05
ASP.NET身份验证管理是.NET框架中的一个重要组成部分,主要用于构建安全的Web应用程序。它提供了一种简单的方式来管理和验证用户身份,确保只有授权的用户能够访问受保护的资源。在这个主题中,我们将深入探讨ASP...
了解,使用和自定义用于身份验证授权ASP.NET身份系统
04-11
在本文中,我们将研究ASP.NET Identity System,它是ASP.NET MVC 5 Internet应用程序模板的默认身份验证授权机制。 我们将尝试了解ASP.NET身份系统,并将其与ASP.NET简单成员资格提供者和C
详解ASP.NET Core和ASP.NET Framework共享身份验证
10-20
本篇文章主要介绍了详解ASP.NET Core和ASP.NET Framework共享身份验证 ,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
asp.net 的认证 (authentication) 和授权 (authorization)
qqqgg的专栏
05-12 5253
1.authorization是用过的,用于访问webapi是否有访问权限。在默认管道模型的Module里,有3个(authentication)和2个authorization的Module &lt;httpModules&gt;            &lt;add name="OutputCache" type="System.Web.Caching.OutputCacheModule" /...
Asp.net中的认证与授权
weixin_33836223的博客
12-03 137
     首先声明一下,认证与授权远远不止我下面讲的这么简单(否则吉日也没必要在这上面浸淫多年了^_^)。下文介绍了asp.net中如何通过自带的功能实现用户认证与授权,而不必在页面中在写判断session是否为空等等判断了。如果您已有这方面的知识还是直接略过吧……     用户认证         .net提供了3种用户认证的方式,分别是Windows,Forms,Passpo...
Asp.net 身份验证授权
08-13 986
1.       Asp.net是依存于IIS的一个服务,说到Asp.net的安全相关的话题当然要有一个整体上的思路:IIS接收—》IIS验证—》IIS授权---》ASP.net验证---》Asp.net授权---》资源返回给用户 IIS从网络上接收到一个HTTP WEB请求可以使用SSL技术来保证服务器的身份,此外SSL也可以提供一个安全通道来保护客户端和服务器端的机密数据的传送。IIS使用基本
Asp.net Authorization
weixin_30477797的博客
08-31 152
ASP.NET 授权 授权的目的是确定是否应该授予某个标识对给定资源请求的访问权限类型。有两种基本方式来授予对给定资源的访问权限: 文件授权 文件授权由 FileAuthorizationModule 执行,它在使用 Windows 身份验证时处于活动状态。它执行 .aspx 或 .asmx 处理程序文件的访问控制列表 (ACL) 检查以确定用户是否应该具有访问权限。应用程序...
asp.net 写一个完整的 Forms身份认证
suntanyong88的专栏
12-13 1229
1,WebConfig配置     修改: 管理员通道
Asp.Net Core 认证与授权
Marzlam的博客
08-06 685
首先来弄清认证(Authentication) 授权 (Authorization) 生活举例:去澡堂洗澡,花钱之后给个澡牌,这就叫认证,拿着澡牌就可以进行澡堂的大厅里了,之后 男的去 男澡堂,女的去女澡堂,这就叫权限。 花钱在程序中 就是 登录,澡牌就是 Token 令牌也好标识也好都可以这么理解。 一般认证和授权都是结合使用,不过你要是开了一个 男女混合澡堂不需要男女分开权限得需求也不是不可(滑稽~~言之有理) 认证和授权发展方式 发展 方式 ...
ASP.NET身份验证与IIS工作原理
"ASP.NET身份验证与IIS交互的讲解" ASP.NET验证是Web应用程序中确保用户安全访问的关键组件。在互联网环境中,保护敏感信息、防止恶意攻击以及避免竞争者窃取信息或知识产权至关重要,这就需要用到身份验证技术。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爱敲代码的Harrison

从来无所求,所得皆惊喜。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值