ASP_NET中认证安全特征评述 计算机专业文献翻译
精品课件-01第1章初识ASP.NETPPT课件
1.CSS HTML所提供的功能较少且粗糙(例如只支持7种字号,且相邻字号相差过大),此外,在HTML文档中,标记的属性与正文是混合在一起的,标记属性值的作用是一次性的,这样势必降低格式设置效率。为了弥补上述缺陷,CSS(Cascading Style Sheets,级联样式表)应运而生。 例如,HTML标记<P>用于定义网页的段落格式,在未设置属性值的情形下,使用浏览器默认的字体、字形等。 2.浏览器端脚本 为了改善人机交互界面,在浏览器端,有时要求网页利用本地代码响应用户的某些操作。浏览器端脚本语言是对HTML的一个重要补充。在对用户与网页交互操作的支持方面,HTML有其先天不足,脚本语言的出现弥补了这一缺陷,可使网页更具交互性并可提供一定的计算能力。 目前比较流行的脚本语言有网景公司(Netscape)的JavaScript和微软公司(Microsoft)的VBScript。 NC仅支持JavaScript,而IE同时支持JavaScript和VBScript。
1.3 应用程序的开发与安装实训
(2)在“WebDeploy”项目的“属性”窗口中,选择“ProductName”属性,并键入“MyWeb”。 3.将“MyWeb”项目的输出添加到部署项目中 (1)在文件系统编辑器中,选择“Web应用程序”文件夹。选择“操作”菜单中的“添加”命令,然后选择“项目输出”。 (2)在“添加项目输出组”对话框中,选择“项目”下拉列表中的“MyWeb”。 (3)选择“主输出”和“内容文件”组,然后单击“确定”。 4.设置安装程序的属性 (1)选择“Web应用程序文件夹”。在“属性”窗口中,VirtualDirectory属性设置为“MyWeb”。 (2)在“生成”菜单上选择“生成“WebDeploy”。 5.将应用程序部署到另一台计算机的Web服务器上 (1)查找所生成的文件“WebDeploy.msi”,将该文件以及所在目录中的其他所有文件和子目录复制到目的计算机上。 (2)在目的计算机上,运行安装程序“Setup.exe”。安装程序运行完成后,目的计算机的WWW站点的主目录下将生成新的虚拟目录“MyWeb”。至此,就可以正常访问文件“MyFirstForm.aspx”。
ASP.NET是什么?
是什么?简介简单来说, 是⼀个使⽤ HTML、CSS、JavaScript 和服务器脚本创建⽹页和⽹站的开发框架。
微软在2001年开发的第⼀个版本的,是⼀种建⽴在.NET之上的Web运⾏环境。
借助于,可以创造出内容丰富的、动态的、个性化的Web站点。
简单易学、功能强⼤、应⽤灵活、扩展性好,可以使⽤任何.NET兼容语⾔。
现在已经更新到4.7的版本了,但只能运⾏在Windows系统上,并不是跨平台的。
所以,微软后续⼜发布了的开源和跨平台版本的 Core(最新版已经更新到2.0)。
虽然⽬前最新技术是 Core,但作为 Core的基⽯,也并没有过时。
所以对于初学者来说,依然是⼀个不错的⼊门⽅向。
特点⼀.Web 控件 提供了七⼤类 Web 控件,分别是:1. ⽤于处理静态和动态数据的标准控件2. ⽤于显⽰来⾃数据源控件中指定的数据源数据的数据控件3. ⽤于各种不同类型验证的验证控件4. ⽤于在 ⽹页上创建菜单和其他导航辅助⼯具的导航控件5. ⽤于为 Web 应⽤程序提供可靠完整且⽆需编程的登录控件6. 使⽤户能够动态地对 Web 应⽤程序进⾏个性化设置的 Web 部件控件7. 在异步回发过程中进⾏部分页更新的 AJAX控件除此之外,还可以使⽤由开发⼈员或第三⽅软件供应商创建的⾃定义的控件。
有了这些控件,会⼤⼤降低开发⼈员的⼯作量。
例如使⽤GridView绑定数据,不⽤再写⼀套复杂的增删改查逻辑,只需要简单⼏步设置就能将数据绑定到控件上,省去了编写⼤量代码的时间。
开发⼈员甚⾄⽆需了解太多的编码知识,只需要将组件拖拉,组合,设计,就能快速开发出⼀个⽹页。
⼆.设计和代码分离采⽤了代码后置技术,将Web界⾯元素和程序逻辑分开显⽰,这样可以使代码更清晰,有利于阅读和维护。
三.⽀持服务器脚本语⾔使⽤⼀种服务端脚本技术(Razor),将服务器端代码同HTML代码结合起来,在⽹页返回给浏览器之前,基于服务器的代码可以创建动态的内容,并且可以运⾏更复杂的任务,使Web开发更加⾼效。
计算机专业外文文献及翻译微软Visual Studio
计算机专业外文文献及翻译微软Visual Studio 微软 Visual Studio1 微软 Visual Studio Visual Studio 是微软公司推出的开发环境,Visual Studio 可以用来创建 Windows 平台下的Windows 应用程序和网络应用程序,也可以用来创建网络服务、智能设备应用程序和 Office 插件。
Visual Studio 是一个来自微软的集成开发环境 IDE(inteqrated development environment),它可以用来开发由微软视窗,视窗手机,Windows CE、.NET 框架、.NET 精简框架和微软的 Silverlight 支持的控制台和图形用户界面的应用程序以及 Windows 窗体应用程序,网站,Web 应用程序和网络服务中的本地代码连同托管代码。
Visual Studio 包含一个由智能感知和代码重构支持的代码编辑器。
集成的调试工作既作为一个源代码级调试器又可以作为一台机器级调试器。
其他内置工具包括一个窗体设计的 GUI 应用程序,网页设计师,类设计师,数据库架构设计师。
它有几乎各个层面的插件增强功能,包括增加对支持源代码控制系统(如 Subversion 和 Visual SourceSafe)并添加新的工具集设计和可视化编辑器,如特定于域的语言或用于其他方面的软件开发生命周期的工具(例如 Team Foundation Server 的客户端:团队资源管理器)。
Visual Studio 支持不同的编程语言的服务方式的语言,它允许代码编辑器和调试器(在不同程度上)支持几乎所有的编程语言,提供了一个语言特定服务的存在。
内置的语言中包括 C/C 中(通过Visual C)(通过 Visual ),C,中(通过 Visual C,)和 F,(作为Visual Studio2010),为支持其他语言,如 MPython和 Ruby 等,可通过安装单独的语言服务。
计算机专业毕业论文题目大全
计算机专业毕业论文主题基于asp语言的测试项目学生信息管理系统的设计与实现基于ASP.NET的社区人口管理系统基于ASP.NET的课程教学网站设计公司会议网站C#高校工资管理系统C#在线点歌系统《数据库原理》精品课程网站设计教师住房管理系统《计算机网络》学习网站的设计与实现《模式识别》精品课程网站的设计与实现asp个人博客asp网上书店微型计算机学习网站的设计与实现成绩分析系统的设计与实现宠物管理系统基于3G通信的视频医药系统设计基于web的图书馆图书信息查询系统离散数学网上教学系统企业进销存管理系统分析与设计人力资源管理信息系统学生作业管理系统社区论坛在线课题系统《数据库技术及应用》精品课程建设网站职业中介信息管理系统自来水收费管理系统会员制漫画店(连锁)管理系统基于CSCW的大学生就业平台基于WEB方式的视频监控系统设计与开发旅游网站健康网站的设计与实现新闻管理系统设计与实现工会信息发布系统的设计与开发模式识别与智能研究所网站互联网计费系统C#毕业生信息管理就业招聘系统体育用品在线商店系统网站群信息管理系统员工绩效考核系统学生档案信息管理C#基于ASP.NET技术的动态IT培训网站的设计与实现《软件测试技术》精品课程网站的建设与开发网上二手房交易系统设计与实现ASP C语言教学系统+论文ASP(交友录)asp+SQLServer网上书店系统+论文ASP+sql精品在线试题库设计+论文ASP+SQL图书管理系统+论文<dir>asp+sql玉林旅游管理系统+论文+答辩PPT+开题报告+屏幕录相ASPAC软件信息发布系统ASPAC学生论坛asp办公系统ASP毕业设计选题管理系统(asp+sql)asp毕业生信息管理系统源码+论文+开题+文献+外文翻译ASP产品销售ASP窗帘网站平台200ASP电子商务系统ASP电子政务档案管理系统+论文ASP服装销售系统论文+答辩PPT+源代码+翻译+开题报告+任务书+实习报告) 20ASP关于奥运网站专题ASP基于WEB的办公自动化管理系统+可执行源代码+论文ASP家教信息管理系统asp教师档案管理系统+论文asp教师信息管理系统ASP教学互动系统asp酒店房间预约系统设计ASP客户关系管理系统ASP+SQL+可执行文件+论文asp旅游信息管理系统ASP企业进销存管理系统ASP+SQL+可执行文件+论文ASP企业物流管理ASP企业物流平台的设计与实现论文+源程序可执行+ASP+ACCESS数据库ASP求职招聘网站设计(ASP)ASP人才招聘系统asp人力资源管理系统ASP+SQL+论文+源程序可执行asp上网导航(论文+源码)ASP售后服务管理系统ASP同学录ASP同学录asp+sqlASP投票系统asp图书出售图书发行系统ASP图书管理系统asp图书管理系统+论文+开题+PPTasp图书管理系统+论文+开题+PPT.rarASP网络办公系统ASP网络办公系统(源码加论文)ASP网络购物系统ASP网络硬盘文件资源管理系统(论文+代码+译ASP网上购书ASP网上考试系统asp网上聊天室系统设计与开发带论文ASP网上人才管理系统+可执行源代码+论文ASP网上售房管理系统ASP网上书店的ASP网上贴吧系统asp网上选课系统+论文ASP物流系统设计ASP物资管理系统的设计与实现+可执行源代码+数据库+论文ASP校友录ASP新闻管理系统ASP新闻网程序+论文asp信息查询系统ASP学生管理ASP学生信息管理系统ASP药店信息管理系统asp医药连锁店管理系统ASP+源代码+可执行程序+论文ASP影片租赁系统asp员工信息管理系统ASP原创交友网设计Asp原创网上书店ASP原创信息管理系统ASP在线examASP在线花店系统ASP在线教育系统asp在线考试系统+论文asp在线学习系统asp自动化测试工具论文.netASP作业提交与批改系统(毕业论文+配套中英文对照翻译+源代码+执行结果) 原创教师信息管理系统及.net基于.net技术的校园新闻发布系统全套asp。
英文文献及中文翻译_ASP.NET概述ASP.NETOverview
英文文献及中文翻译 Overview is a unified Web development model that includes the services necessary for you to build enterprise-class Web applications with a minimum of is part of the .NET Framework, and when coding applications you have access to classes in the .NET Framework.You can code your applications in any language compatible with the common language runtime (CLR), including Microsoft Visual Basic and C#. These languages enable you to develop applications that benefit from the common language runtime, type safety, inheritance, and so on.If you want to try , you can install Visual Web Developer Express using the Microsoft Web Platform Installer, which is a free tool that makes it simple to download, install, and service components of the Microsoft Web Platform.These components include Visual Web Developer Express, Internet Information Services (IIS), SQL Server Express, and the .NET Framework. All of these are tools that you use to create Web applications. You can also use the Microsoft Web Platform Installer to install open-source and PHP Web applications.Visual Web DeveloperVisual Web Developer is a full-featured development environment for creating Web applications. Visual Web Developer provides an ideal environment in which to build Web sites and then publish them to a hosting site. Using the development tools in Visual Web Developer, you can develop Web pages on your own computer. Visual Web Developer includes a local Web server that provides all the features you need to test and debug Web pages, without requiring Internet Information Services (IIS) to be installed.Visual Web Developer provides an ideal environment in which to build Web sitesand then publish them to a hosting site. Using the development tools in Visual Web Developer, you can develop Web pages on your own computer. Visual Web Developer includes a local Web server that provides all the features you need to test and debug Web pages, without requiring Internet Information Services (IIS) to be installed.When your site is ready, you can publish it to the host computer using the built-in Copy Web tool, which transfers your files when you are ready to share them with others. Alternatively, you can precompile and deploy a Web site by using the Build Web Site command. The Build Web Sitecommand runs the compiler over the entire Web site (not just the code files) and produces a Web site layout that you can deploy to a production server.Finally, you can take advantage of the built-in support for File Transfer Protocol (FTP).Using the FTP capabilities of Visual Web Developer, you can connect directly to the host computer and then create and edit files on the server. Web Sites and Web Application ProjectsUsing Visual Studio tools, you can create different types of projects, which includes Web sites, Web applications, Web services, and AJAX server controls.There is a difference between Web site projects and Web application projects. Some features work only with Web application projects, such as MVC and certain tools for automating Web deployment. Other features, such as Dynamic Data, work with both Web sites and Web application projects.Page and Controls FrameworkThe page and controls framework is a programming framework that runs on a Web server to dynamically produce and render Web pages. Web pages can be requested from any browser or client device, and renders markup (such as HTML) to the requesting browser. As a rule, you can use the samepage for multiple browsers, because renders the appropriate markup for the browser making the request. However, you can design your Web page to target a specific browser and take advantage of the features of that browser. Web pages are completely object-oriented. Within Web pages you can work with HTML elements using properties, methods, and events. The page framework removes the implementation details of the separation of client and server inherent in Web-based applications by presenting a unified model for responding to client events in code that runs at the server. The framework also automatically maintains the state of a page and the controls on that page during the page processing life cycle.The page and controls framework also enables you to encapsulate common UI functionality in easy-to-use, reusable controls. Controls are written once, can be used in many pages, and are integrated into the Web page that they are placed in during rendering.The page and controls framework also provides features to control the overall look and feel of your Web site via themes and skins. You can define themes and skins and then apply them at a page level or at a control level.In addition to themes, you can define master pages that you use to create a consistent layout for the pages in your application. A single master page defines the layout and standard behavior that you want for all the pages (or a group of pages) in your application. You can then create individual content pages that contain the page-specific content you want to display. When users request the content pages, they merge with the master page to produce output that combines the layout of the master page with the content from the content page. The page framework also enables you to define the pattern for URLs that will be used in your site. This helps with search engine optimization (SEO) and makes URLs more user-friendly.The page and control framework is designed to generate HTML thatconforms to accessibility guidelines. CompilerAll code is compiled, which enables strong typing, performance optimizations, and early binding, among other benefits. Once the code has been compiled, the common language runtime further compiles code to native code, providing improved performance. includes a compiler that will compile all your application components including pages and controls into an assembly that the hosting environment can then use to service user requests.Security InfrastructureIn addition to the security features of .NET, provides an advanced security infrastructure for authenticating and authorizing user access as well as performing other security-related tasks. You can authenticate users using Windows authentication supplied by IIS, or you can manage authentication using your own user database using forms authentication and membership. Additionally, you can manage the authorization to the capabilities and information of your Web application using Windows groups or your own custom role database using roles. You can easily remove, add to, or replace these schemes depending upon the needs of your application. always runs with a particular Windows identity so you can secure your application using Windows capabilities such as NTFS Access Control Lists (ACLs),database permissions, and so on.State-Management Facilities provides intrinsic state management functionality that enables you to store information between page requests, such as customer information or the contents of a shopping cart. You can save and manage application-specific, session-specific, page-specific, user-specific, and developer-defined information. This information can beindependent of any controls on the page. offers distributed state facilities, which enable you to manage state information across multiple instances of the same application on one computer or on several computers. 概述是一个统一的Web开发模型,它包括您使用尽可能少的代码生成企业级Web应用程序所必需的各种服务。
ASP.NETCore身份认证(Identity、Authentication)
Core⾝份认证(Identity、Authentication)Authentication和Authorization每每说到⾝份验证、认证的时候,总不免说提及⼀下这2个词。
他们的看起来⾮常的相似,但实际上他们是不⼀样的。
Authentication想要说明⽩的是你是谁(你的⾝份是什么)Authorization想要说明⽩的是你能做什么(得到了什么权限)但是这两个词通常是要同时存在的。
要知道有什么权限前提是知道你是谁。
OAuth2认证这是最近很流⾏的认证的标准。
要完全理解他的话也要说上⼀⼤篇,在这⾥简单点说明:第三⽅⽹站能够得到认证⽅提供的⾝份和授予的权限。
就是上⾯提到的Authorization说个例⼦这⾥似乎说个栗⼦会⽐较好,例如搭乘飞机:假设你购买了⼀张南⽅航空的机票。
那么你去坐飞机的时候可能会出现以下场景:1.到南⽅航空的柜台checkin。
得到⼀张纸质的,上⾯有你⾝份证信息,航班信息。
2.到⼊站⼝被检票⼈员查票。
检票员会查看你的机票是否正确,机票⾝份信息是否与你的⾝份证信⼼对应。
3.到VIP休息室等待登机。
被服务⼈员告知你并没有权限进⼊VIP休息室,原因是购买的是普通票,⾮贵宾票。
4.登机,⼊座。
空乘⼈员核对你的航班是否对应当前的航班。
好了,上⾯的⼏个场景跟认证是相当的相似。
第⼀步checkin,对应的是认证系统,纸质票就是提供的票据。
第⼆步就相当于你⾃⼰的⽹站,得到了南⽅航空的认证,只要知道是南⽅航空颁发的票据,你都认为是有效的。
这⾥也有个特别的地⽅,就是机场不可能只认南⽅航空,可能东⽅航空,春秋航空都认,所以这个也是认证的特点,你的⽹站是可以同时实现多个具有相同规则的认证⽅提供的票据。
第三步相当于是权限的验证,虽然客户⼿上是有票据,但由于票据上声明(Claim)的权限并不包含VIP休息室使⽤。
第四步相当于允许的权限,有这个票据,可以指定做某些可做的事情。
为什么要⽤现在的服务基本上都是集群的,进⾏的⽹络通讯也以⽆状态请求为主。
ASP NET就业ASP NET Core身份验证与授权
第7章 身份验证与授权《》学习目标/Target掌握添加 Core Identity框架的方式,能够实现添加Core Identity框架的功能掌握实现身份验证功能的方式,能够独立实现身份验证功能掌握实现用户授权功能的方式,能够独立实现用户授权功能章节概述/ Summary在 Core项目的网站中,我们通常会用到身份验证与授权功能来限制用户是否可以登录,是否有权限访问当前页面等。
本章我们就来学习如何在网站中进行身份验证与授权。
情景导入/ Lead-in王五是一家互联网公司的网站开发人员,当他在进行 ASP 网站开发时,网站中涉及用户的注册与登录以及授权情况。
王五经过分析,得出的结论是首先要在网站中通过 Core Identity 框架创建注册与登录的视图页面,然后通过 Authorization 框架对用户进行身份验证与授权,授权后用户就可以访问指定的页面。
身份验证与授权操作的实现过程如下图所示。
目录/Contents01 02 03添加 Core Identity框架身份验证用户授权7.1添加 Core Identity框架先定一个小目标!了解 Core Identity框架简介,能够说出什么是 Core Identity框架了解 Core Identity框架的安全性简介,能够说出 Core Identity框架的安全性内容 Core Identity框架简介 Core Identity框架是一套用户管理系统,不仅可以提供注册登录的功能,还能在数据库中对存储的密码进行安全加密,对邮箱进行认证,账户锁定以及双因素身份验证的同时也提供了身份验证(Authentication)和授权(Authorization)两个功能,身份验证的目的是让系统准确地分辨出哪个用户在登录网站,而授权则是来管理用户的权限,比如给部分用户加上访问权限,通过这种权限的设置来限制用户对某些网站资源的访问或限制打开某些页面。
关于ASP文献综述
基于.NET平台的电力设备管理系统1前言电力建设是国民经济发展中一项重要、复杂的系统工程。
近年来国家一直投入巨资进行的大规模城乡电网改造,无疑显示出了电网建设的重要性,随着电力建设的飞速发展和电力体制改革的不断深入,传统的管理模式和管理方法越来越凸现出其自身的诸多弊端,其中电力设备的管理作为电力系统运行的重要环节,它的发展与现代化对整个电力的发展起着至关重要的作用,但是,由于电力设备数量多、分布地域广、受自然环境和人为因素影响的机会比较多,因此在运行管理工作中存在许多困难。
基于.NET平台的电力设备管理系统是适应当前电力行业设备管理和生产管理需要的信息系统,从而起到充分发挥现有各种信息资源的作用,达到管理行为规范化、管理制度流程化、管理结果信息化,管理手段现代化的最终目的。
2主题平台概述ASP指Active Server Pages(动态服务器页面)。
是新一代Web应用程序开发平台,它为用户提供了完整的可视化开发环境,它利用普通语言CLR运行时(Common Language Runtime)在服务器后端为用户提供建立强大的企业级Web应用服务的编程框架。
ASP.NET是建立在.NET Frame之上,使用Visual Basic、C#这样模块化程序设计语言。
它要第一次使用时进行编译,之后的执行不需要重新编译就可以直接运行,所以速度和效率比ASP提高很多。
同时它还具有代码的可重用性、可维护性和代码量相对较少等诸多优点。
ASP.NET不仅仅是下一版本的Active Senver Page(ASP);它是统一的Web开发平台,用来提供开发人员快速生成企业级web 应用程序,所需的服务ASP.NET的语法在很大程度上与ASP兼容。
由于ASP本身的局限性使得系统有一些不可克服的缺陷,而采取了ASP.NET技术的系统性能上有了很大的改善:1)ASP.NET页面只需要一次编译后不需要重新编译,直到该页面被修改或WEB应用程序重新启动,极大提升多次访问时的速度;2)ASP.NET通过ADO.NET 提供的DataGrid等数据库元件可以直接和数据库联系;3)ASP.NET采取“code —behind”方式编写代码使得代码易于编写,结构更清晰,降低了系统的开发与维护的复杂度和费用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ASP. NET 中认证安全特征评述Narcisio Tumushabe ,谭冠正(音译)(中南大学计算机科学与信息技术学院, 湖南长沙410083)摘要:讨论了服务应用时支持安全的ASP. NET 认证特征,微软的互联网信息服务( IIS) 和 提供了安全模式,使Web 开发者恰当地认证其使用者,并在应用过程中获得正确的安全之本. 三个层次的认证是基于表单的,身份证书和视窗认证. 综述文献仅限于上述三个领域.关键词: 表单; 身份证书; 视窗认证中图分类号:TP 393108文献标识码:A 文章编号: 1000 - 1646 (2003) 03 - 0250 - 05安全是开发人员和应用程序架构师首要关注的问题。
由于不同类型的网站有不同的安全需要,开发人员需要知道需要什么程度的安全运行,并为他们的程序选择适当的安全模式。
有些网站发布的信息不来自用户,而是通过搜索引擎等广泛渠道来收集。
另外一些网站,可能要收集用户的敏感信息,比如信用卡号码,这些网站需要非常严格的安全措施,以避免来自外部的恶意攻击。
1 安全的基本操作在ASP . NET应用程序的环境中安全的基本操作涉及三步即验证,授权和模拟。
验证的过程中认证用户身份,允许或拒绝请求。
这涉及到接受用户凭据(如用户名和密码)和凭证核对。
经过身份验证,合法用户对资源的请求将得到满足。
接下来一段时间,用户请求资源无需再进行身份验证,直到用户退出这个WEB 应用程序。
授权是给予用户访问特定资源的资格。
模拟的过程,是使应用程序确认用户的身份,从而获得要求的其他资源。
基于模拟的身份,请求资源将被授予或者拒绝。
2 的验证验证是Web应用程序的安全一个重要的特征。
在中,验证表现在两个层次上,[2 ]首先,Internet信息服务(IIS )将执行必要的验证,然后把用户请求发送到中,如图1所描述的。
应用程序的Web服务器基本是IIS 。
因此,每个应用程序可以继续利用IIS所提供的的安全性选项。
当用户请求特定资源时,这一要求将发送到IIS 。
IIS验证用户的请求,然后把认证用户发送给工作进程。
工作进程将决定是否模拟验证IIS所提供的用户。
如果Web.config文件中的模仿配置是启用的, 工作进程将模拟验证使用者。
否则,将自行验证用户身份。
毕竟,决定用户是否有权访问这些资源。
如果他们被允许,ASP. NET提供请求的服务; 否者他将一个“ 拒绝登入”的错误讯息传回给用户。
图1 IIS和的安全流程通过几种认证机制提供了内置的用户身份验证,[1.4]它们是基于表单的身份验证,应用程序使用自定义身份验证模式的Cookie支持来确保安全;身份证书,应用程序使用微软的身份证书来身份验证,身份证书是微软开发的一个Web单点登录技术,还有视窗验证,Web应用程序使用从集成视窗身份验证中获得的用户名单来验证用户。
也有些应用程序不使用身份验证,或自行开发验证机制。
在这种情况下,可以把ASP. NET中身份验证模式设置为关闭。
本文将简要地涉及基于表单的,身份证书和视窗认证。
2.1 基于表单的认证基于表单的认证验证是用定制逻辑执行来验证用户,运用了Cookie而无需担心Session管理。
这使开发人员获得更多的权限去指定哪些文件在网站上可获取和由何人获取,并可以识别的登录页。
[3]这一机制将自动重定向未验证用户到登录页,并请他们提供适当的凭据(例如,用户名/密码组合)。
如果登录成功,分配cookie给用户,并重定向到他们原先请求的特定资源。
此Cookie 允许用户反复访问特定资源,而不必重新执行登录机制。
显示如下:图2表单认证流程在上图中,首先用户请求资源。
这一请求将先到达IIS,由IIS进行用户身份验证的。
如果IIS启用匿名访问,或者用户已成功通过验证,IIS会将把请求转到应用程序。
中查看是否有有效的身份验证cookie附加请求中。
如果有,它意味着用户先前已通过验证。
将执行授权检查。
如果用户有访问这些资源的权限,将被允许访问。
否则返回登入失败的信息。
如果提出的请求没有附带任何Cookie,将重定向用户登录页面,并要求用户进行身份验证。
应用程序代码检查身份证书。
如果身份验证通过, 将以附加验证的形式返回Cookie。
如果失败了,用户可以被重定向到登录页并告诉用户,该用户名/密码无效。
建立基于表单的认证一般来说,建立基于表单的认证涉及4个步骤[2]:(一)启用匿名访问IIS(二)配置Web.config文件中的<authentication>(三)设定Web.config文件中的<authorization>(四)创建登录页。
(一)启用匿名访问IIS:这有许多工作要做,因为大多数的用户被认定为非视窗用户,所以他们通过IIS进入ASP. NET ,将始终允许匿名访问登入页面。
(二)配置Web.config文件中的< authentication >Web.config文件包含了一个Web应用程序的等级和身份验证服务的类型等相关信息。
该表单验证通过设置Web应用程序的身份验证模式属性为表单来激活[3]:< authentication mode =″Forms″>< forms name =″Login″loginURL =″Login. aspx″protection =″All″timeout =″10″path =″/ ″/ >< / authentication >正如上面的代码,name属性为HTTP cookie的名称。
loginURL属性设置为登录页面。
如需,这是该网页所使用的身份验证的用户凭据。
如果用户没有通过验证,请求将重定向到特定网址loginURL。
保护属性的有效值分为所有,无,加密和验证。
Cookie保护设置为所有,这导致运行时不仅加密Cookie的内容,而且验证Cookie的内容。
[8]如果设置为无,它不使用任何加密或验证。
指定加密将使用DES或DES加密算法加密Cookie;cookie中的数据验证不这样做,指定验证cookie的数据未作改动的,而不是加密Cookie的内容。
超时设置为10 ,这意味着在10分钟后身份验证Cookie将过期。
这样做的目的是减少通过验证Cookie偷窃别人的机会。
通过减少时钟,cookie将被经常地再生。
路径属性是指cookie被发送到用户端的路径。
它被设置为“ / ”这意味着在Cookie路径是根目录。
(三)配置Web.config文件中的< authorization >为ASP. NET Web应用程序添加授权服务。
要做到这一点,添加Web.config 文件中的< authorization >:< configuration >< system. web >< authorization >< allow users =″Narcis″/ >< deny users =″3 ″/ >< / authorization >< / system. web >< / configuration >如上面所解释,在用户提供了有效的证书后,用户将被重定向到特定的网页。
然而,授权在此代码中将拒绝除“Narcis”外所有用户的访问。
(四)创建登录页这是重定向未经验证用户的最后一步,这样他们就可以提供其身份证书,通常是某种形式的用户名和密码,登录到受保护的资源的授权。
在登录页,必须通过对比数据库来验证递交的身份证书。
有效的用户名和密码可以存储在web. config的凭据(credentials)节:< credentials passwordFormat =″Clear″>< user name =″Narcis″password =″nar″>< user name =″Marion″password =″mar″>< user name =″Lauren″password =″lau″>< / credentials >然而,以明文形式存储密码是很不安全的。
此外,在Web.config文件中存储数千个用户名和密码也是不现实的。
[2 .7]为解决这个问题,用户名和密码都存储在数据库中,这个办法使Web. config文件不再有< credentials >一节。
同时Login. Aspx页面也因为身份证书需比对用户名和密码存储在数据库中而发生一些改变。
2.2身份证书如前所述,这个验证机制提供了一个集中的认证服务,可为会员提供特有的访问权。
在下列情况下使用身份认证:[2](一)用户名/密码数据库或登入页不易维护;(二)希望提供个性化的内容;(三)该网站将与其他认证网站结合;(四)希望给用户特有的访问权。
创建身份证书为了实施这一身份认证模式,必须在服务器上安装身份证书SDK (软件开发套件)和注册微软身份证书。
[1,2]下面的代码设置Web. config文件的身份认证模式(authentication)设置为身份证书:< authentication mode =″Passport″>< passport redirectURL =″internal″/ >< / authentication >该身份证书的重导向地址(RedirectURL)属性设置为内部(internal),这意味着未经验证的请求能够得到相同的错误信息。
redirectURL的属性还可以是除internal外的其他字符串,一般是URL,用来重定位未经验证的请求。
2.3 视窗认证这种类型的身份认证可能是最简单的一种。
视窗认证可与IIS提供的除匿名身份验证外的几乎所有的验证方法结合(如基本,摘要式,NTLM或Kerberos身份验证),[2,4]这里无需写任何代码来验证用户的IIS已经验证自己的Windows凭据。
基本上,视窗认证使用IIS的身份验证功能。
IIS将先完成它的验证功能,然后由决定是否给予授权或拒绝服务。
这种机制通常是在用户是Windows域和通过身份验证的用户时使用,代码执行在安全性与用户的Windows帐户相同的环境中。
[4]当用户请求具体的资源,这一要求将前往IIS。
IIS中对用户进行身份验证和发放安全令牌给它。
然后,将通过认证的要求和安全令牌转发给中。
如果模拟启用,模拟用户使用安全令牌重视,并在Web.config文件的“授权< authorization >”一节中的查看使用者是否被授权访问的资源。