成员资格和角色管理

成员资格和角色管理

      对于大多wed应用程序而言，身份验证和授权管理是非常重要的部分。是对wed应用程序的安全起着重要的保护作用。

      认证是确定用户身份的过程，在用户通过身份验证后可以确定该用户是否有权继续操作。如果没有进行身份验证，就不能进入实体授权。

       授权是确定已验证的用户是否有权访问应用程序中的某个部分，某个点或只访问应用程序提供的特定数据集。

1.ASP.NET的安全模式的重要性：

ASP.NET自己不执行身份验证，完全依赖IIS身份验证，匿名用户可以使用默认ASP.NET账户访问资源。

一，是构造特殊的链接地址，导致文件内的数据泄露

二，数据库泄漏

三，安全模式的首要策略就是所有的HTTP访问都要经过IIS，限制IIS的安全性是关键

ASP.NET有4种授权方法：

windows：依赖IIS验证，在内联网中作用很大。

passport：微软集中式身份验证，一次登录可访问所有站点，需付费。

From：窗体验证，窗体帐号密码登录，现在最方便和主要的验证方式。（主要学习运用From验证）

None：自己不执行身份验证，完全依赖IIS身份验证。

From窗体验证

     允许用户访问整个应用程序其特定资源的一种流行模式。

     IIS接收请求，但不进行处理，而是传递给ASP.NET应用程序。

From窗体验证的主要属性

明文一般登陆方式

首先对网站根目录Wed.config进行配置

将<authentication mode="Windows" />给注释掉再换行重新写一行<authentication mode="Forms" />

再创建一个登录窗体和管理员界面窗体

引用using System.Web.Security;

在登陆的界面后台写登录代码

将账户和密码放在配置文件中

在from验证后面加上<credentials passwordFormat="Clear">节点。

可以添加登录的账户和密码<user name="admin" password="mima"/>

name是账户，password为密码；

对密码进行加密登录：

在Wed.config中配置文件<credentials passwordFormat="MD5"> 设置成MD5加密登录

password="21232F297A57A5A743894A0E4A801FC3"/>则是密码加密后的字符串。      

对用户进行授权和配置

在站点根目录中Wed.config进行授权配置

2.成员资格管理

Membership类：（主要用与验证用户凭据并管理用户设置）

创建和管理用户

将成员信息储存在SQL Server数据库中。

对访问点进行身份验证

管理密码，包括创建，更改，检索和重置密码等

Membership类的属性和方法

配置Wed.config文件

在Visual Studio命令提示符中创建数据库