成员资格和角色管理

成员资格和角色管理

一、ASP.NET的安全模式

  1、安全的必要性：

    （1）构造特殊的链接地址，导致文件内的数据泄露

    （2）数据库泄漏

    （3）安全防范的首要策略：所有的HTTP访问都要经过IIS，所以限制IIS的安全性是关键。

  2、（1）根据所请求资源的类型，IIS能够自己处理请求，也可以不自己处理请求。

       （2）如果资源请求一个ASP页面，则IIS将请求经过身份验证用户（或匿名用户）的安全令牌一起传递给ASP.NET，接下来发生的事情就取决于ASP.NET的配置。

  3、ASP.NET支持的4种授权方式：

    （1）Windows：IIS验证，在内联网环境中非常有用。

    （2）Passport：微软集中式身份验证，一次登录便可访问所有成员站点，需要收费。

    （3）Form：窗体验证，验证账号/密码，Web编程最佳最流行的验证方式。

    （4）None：表示ASP.NET自己根本不执行身份验证，完全依赖IIS身份验证。

  4、认证是确定用户身份的过程。

       授权是确定以验证的用户是否有权访问应用程序中的某个部分、某个点或只访问应用程序提供的特定数据集。

  5、<forms>元素的主要属性

  6、对密码进行加密：

    （1）Clear：密码储存为明文。用户的密码直接与这个值比较。

    （2）MD5：密码使用散列摘要进行存储。使用MD5算法进行散列，再与这个值进行相等比较。这个算法比SHA1的性能好。

    （3）SHA1：密码使用SHA1散列摘要来存储。在验证证书时，用户密码使用SHA1算法进行散列，再与这个值进行相等比较。这个算法安全性最高。

  7、<authorization>对用户进行授权：

    （1）<authorization>配置节用来对用户进行授权，在实现用户授权中，应遵循：

           一是位于较低目录级别的配置文件中包含的规则，优先于位于较高目录级别的规则。

           二是对于给定URL的一组合并的规则，系统从列表头开始，检查规则直到找个第一个匹配项为止。

    （2）<authorization>配置：

           deny阻止访问用户；allow允许访问用户。

           ？代表匿名用户，*代表任意用户。

            多个用户之间用“，”隔开

二、成员资格

  1、ASP.NET提供的成员资格管理功能，其核心是利用内置的成员库表（SQL Server）、成员资格管理API（Membership、MembershipUser）、成员资格提供程序（SqlMembershipProvider等），实现模块化和自动化的成员资格管理模式。

  2、Membership类：用于验证用户凭据并管理用户设置。

  3、Membership类常用属性：

  4、Membership类常用方法：

三、成员角色管理

  1、ASP.NET提供的角色管理将整个控制过程分为两个步骤：

    （1）访问权限与角色关联

    （2）角色与用户关联

  2、Roles类

    （1）Roles类分割了用户界面与执行底层数据访问的角色管理提供程序，从而为快速实现多种数据源储存的角色管理应用提供了技术支持。

    （2）功能：创建和管理角色

                      将角色信息储存在SQL Server或其他数据源中

                      获取有关角色管理配置的详细内容

  3、Roles类常用属性：

  4、Roles类常用方法：