Pārvaldīt lietojumprogrammu drošību ASP.Net

Bieži vien mājas lapas ir lapas, kuras nedrīkst būt pieejami, lai apskatīt ikviens, bet tikai no dažu veidu lietotājiem. Ir runāts par lietotāju autentifikāciju, atsaucoties uz praksi, ko izmanto, lai nodrošinātu, ka lietotāji faktiski tie, kas pretendē būt un šī prakse ir balstīta uz kopējām informāciju (piemēram, paroli). Viņš runā tā vietā, kas atļauj lietotājiem atsauce uz praksi, lai atļautu vai aizliegtu, pamatojoties uz atļauju, un / vai lomas, kas tām piešķirtas attiecībā uz atļauju piekļūt atsevišķām lapām īpašiem lietotājiem, kuri ir apstiprinātas.

Programmatūras drošība ir tēma liela nozīme pēdējos gados. Ja tīmekļa pieteikumu darbojas Microsoft vidē, jāņem vērā daži būtiski aspekti: drošības kontekstā (drošības kontekstā) IIS, kā, lai autentificētu lietotājus un to atļaujas.

Pārvaldīt drošības tīmeklī ir darbība ir ļoti līdzīga tipisks drošības pārvaldību tīklā, kur jums ir paļauties uz autentificēšana un lietotāju atļaujas. Tomēr elektroapgādes drošību tīmeklī nodrošina vadības klientiem, kas izmanto dažādām platformām, tāpēc jums ir mazāk kontroles, nekā slēgtā tīklā (piemēram, Windows tīkla birojā). Faktiski, slēgta tīkla administratori var vieglāk kontrolēt visu sistēmu, kas nodrošina vai liedzot pieeju lietotājiem dažādu resursu pieejamību. Tīmekļa lietojumprogrammai, kas lietotājiem, taču ir daudz vairāk un tāpēc nepieciešama cita pieeja (ārējā infrastruktūra Windows), lai autentificētu un atļaut sevi.

Pirmajai drošības jautājums, kas ir radušās, izstrādājot tīmekļa lietojumprogrammas Windows vidē ir izprast drošības kontekstā ar IIS. Praktiski visi caurlaide, lai mājas lapā, izmantojot IIS, un, tāpat kā visas Windows programmas, IIS darbojas noteiktā kontekstā. Kad IIS ir instalēta datorā, instalācijas process rada drošības identitāti (drošības identitāti), sadalīt to.

Un "iespējams noteikt identitāti, saskaņā ar kuriem mūsu versiju IIS iet sākās, izvēlieties virtuālo direktoriju, lai piekļūtu īpašību logu un noklikšķinot attālās piekļuves un autentiskuma kontroli. Šajā brīdī tas atveras šāds logs

kā jūs varat redzēt uz sava datora identitāte ir IUSR.

Pēc noklusējuma IIS rokturiem virtuālo direktoriju izmantojot Anonymous Authentication. Ja šis režīms ir precizēts, izmantojot IIS lietotājam, ka nupat esam redzējuši un padara pieejamus resursus to pieejamu. IIS atbalsta arī cita veida autentifikāciju, ieskaitot Windows autentifikāciju. Pēdējā gadījumā, iesniedz visiem potenciālajiem lietotājiem Windows lietotāja vārdu un paroli. Tomēr šo autentifikācijas veidu works fine ar Windows lietotājiem, bet lietotājiem, kuri izmanto citas operētājsistēmas jums ir jāizmanto cita veida autentifikāciju, jo drošības pieejamo Windows lietotājiem mehānisms nav pieejama citām sistēmām, un tāpēc lietotāji nevar autentificēt.

Par laimi, ASP.NET ietver tā saukto Forms autentifikācija, vienkāršs, bet efektīvs līdzeklis, kas ieviests ar verisone 1,0. Tas ir kas no web.config fails tīmekļa lietojumprogrammu, kas, papildus elementiem, kas jau redzējuši, tajā ir arī punkti autentificēšanas un pilnvarošanas. Ja nav šādu mezglu ASP.NET ļauj neierobežotu piekļuvi mājas lapā. Tomēr, ja šie elementi, tad lietotāji tiek novirzīti uz lapu veltīta autentifikācija (parasti pieteikšanās lapā, kur lietotāji jāievada lietotājvārds un parole).

Te ir paraugs web.config ar šiem mezgliem

jūs varat redzēt, ka tas tika noteikts kā autentifikācijas metodi, un kā sava veida lapu, kur lietotāji tiek novirzīti uz login.aspx lapā.

ASP.NET ietver lielu atbalstu lietotāja autentifikāciju. Galvenais elements šajā sakarā ir FormsAuthentication klase, kas paredz virkni dažādu funkciju, sākot no šifrēšana paroles izveidi autentifikācijas sīkdatnes, izmantojot dažādus citus aspektus

Lai izpētītu jautājumu par drošības ASP.NET es aicinu jūs, lai atsauktos uz raksta ar mani, un iesniegt šo lapu .

• <<Iepriekšējā nodarbība
• Help Index
• Nākamā nodarbība>>