Visual Studio安全性

Visual Studio安全性
一、 描述
为了确保应用程序的安全,安全性有几个重要方面需要考虑。一是应用程序的用户，访问应用程序的是一个真正的用户，还是伪装成用户的某个人？如何确定这个用户是可以信任的。另一方面是应用程序本身。如果应用程序驻留在Web提供程序上，该怎么办？要如何禁止应用程序执行对服务器有害的操作。

1、 验证和授权：
安全性的两个基本支柱是身份验证和授权。身份验证是标识用户的过程，授权在验证了所标识，用户是否可以访问特定资源之后进行

2、 标识：
使用标识可以验证运行应用程序的用户。WindowsIndentity类表示一个Windows用户。如果没有用Windows账户标识用户，也可以使用实现了IIdentity接口的其他类。通过这个接口可以访问用户名、该用户是否通过身份验证，以及验证类型等信息。
Principal是一个包含用户的标识和用户的所属角色的对象。Iprinecipal接口定义了Indentity属性 和IsInRole（）方法，Indentity属性返回 IIdentity对象；在IsInRole（）方法中，可以验证用户是否是指定角色的一个成员。角色是有相同安全权限的用户集合，同时它是用户的管理单元。角色可以是Windows组或自己定义的一个字符串集合。
NET中的Principal类有 WindowsPrincipal和 GenericPrincipal。还可以创建实现了IPrincipal接口的自定义Principal类。
创建一个控制台应用程序，它可以访问某个应用程序中的主体，以便允许用户访问底层的Windows账户。这里需要导入System.Security.Principal和System.Threading名称空间。首先，必须指定NET使用底层的Windows账户自动挂起主体。因为从安全的角度考虑，NET不会自动填充线程的CurrentPrincipal属性

3、 角色：
基于角色的安全性可以很好地解决资源的访问问题。例如，在金融行业中，员 工的角色决定了他们能够访问的信息和它们能够执行的操作。 此外，基于角色的安全性最好也与Windows账户或自定义用户目录一起使用,以便管理基于 Web的资源的访问权限。例如，Web站点可以限制用户对其内容的访问，直到用户用那个站点注册为止，而且只有用户成为那个Web站点的付费订阅者之后，才能访问站点上的特殊内容。在众多的方法中,只有ASP.NET能更容易实现基于角色的安全性,因为许多代码都基于服务器

4、 客户端应用程序
1、 应用程序服务：
要使用客户端应用程序服务，可以创建一个 ASP.NETWeb服务项目，它提供了应用程序服务。该项目需要一个成员提供程序。不仅可以使用已有的成员提供程序，也可以创建自定义提供程序。定义了SarpleMernbershipProvider类，它派生自基类MembershipProvider该基类在 System.Web.ApplicationServices程序集的 System.Web.Security名称空间中定义。必须重写基类中的所有抽象方法 。对于登录，只需实现 ValidateUser()方法。所有其他方法都可以用 ApplicationName属性抛出一个 NotSupportedException异常。

2、 客户端应用程序
通过客户端应用程序使用 WPF。Visual Studio有一个项目设置Services，它允许使用客户端应用程序服务。这里可以设置Forms身份验证,把身份验证和角色服务的位置设置为前面定义的地址。从项目配置中,所做的全部工作就是引用 System.Web和System.Web.Extensions程序集,并修改应用程序的配置文件，以配置那些使用ChientAuthentication-MembershipProvider和ClientRoleProvider类的成员提供程序和角色提供程序，以及这些提供程序使用的Web服务的地址。