Administrere sikkerheten på ASP.Net søknader

Ofte en nettside inneholder sider som ikke skal være tilgjengelig for å bli sett av noen, men bare visse typer brukere. Det er snakk om brukerautentisering i referanse til den praksisen som brukes for å sikre at brukerne er faktisk de som hevder å være, og denne praksisen er basert på delt informasjon (for eksempel et passord). Han snakker i stedet for autoriserer brukere å referere til praksis å tillate eller nekte basert på tillatelse og / eller roller tildelt dem for tilgang til enkelte sider til visse brukere som er godkjent.

Programvaren sikkerhet er et tema av stor relevans de siste årene. Når web-applikasjon kjøres i et Microsoft miljø må vurdere noen grunnleggende aspekter: sikkerhetskonteksten (sikkerhet kontekst) IIS, hvordan å godkjenne brukerne og deres tillatelser.

Managing Security på nettet er svært lik den aktiviteten som er typisk for et sikkerhetsstyringssystem der de må stole på autentisering og autorisasjon av brukere. Imidlertid gir sikkerhet på nettet for styring av klientene ved hjelp av ulike plattformer, så du har mindre kontroll enn et lukket nettverk (for eksempel Windows-nettverk i et kontor). Faktisk kan et lukket nettverksadministratorer lettere overvåke hele systemet, gi eller nekte tilgang for brukere av ulike ressurser tilgjengelig. Brukerne av en web-applikasjon, men er langt mer tallrike og dermed trenger en annen tilnærming (ekstern infrastruktur for Windows) for å autentisere og autorisere seg selv.

Den første sikkerheten problemet som er oppstått ved å utvikle web-applikasjoner i et Windows-miljø er å forstå sikkerheten sammenheng med IIS. Nesten all tilgang pass til et nettsted gjennom IIS, og som alle Windows-programmer, er IIS kjører i en bestemt kontekst. Når IIS er installert på en datamaskin, oppretter installasjonsprosessen en sikkerhets identitet (sikkerhet identitet) for å skille det.

Og "mulig å identifisere identiteten under hvilke vår versjon av IIS kjører startet, velger du en virtuell katalog, ved å gå egenskapene vinduet og klikke ekstern tilgang og autentisering kontroll. På dette punktet følgende vindu

Som du kan se på datamaskinen min identitet er IUSR.

Som standard IIS håndterer virtuelle kataloger ved hjelp av Anonym godkjenning. Når denne modusen er angitt ved hjelp av IIS brukeren som vi nettopp har sett og gjør tilgjengelig de ressursene tilgjengelig. IIS støtter også andre typer godkjenning, inkludert Windows-godkjenning. I sistnevnte tilfelle må du gi til alle potensielle brukere av Windows-brukernavn og passord. Fungerer imidlertid denne typen autentisering godt med brukere som bruker Windows, men for brukere som benytter andre operativsystemer må du bruke en annen autentisering type, som sikkerhetsmekanisme tilgjengelig for Windows-brukere er ikke tilgjengelig for andre systemer og derfor brukere kunne ikke godkjenne.

Heldigvis inkluderer ASP.NET den såkalte skjemaautentisering, et enkelt men effektivt redskap introdusert i verisone 1.0. Det er satt av web.config av en web-applikasjon som i tillegg til elementene allerede sett, inneholder noder av autentisering og autorisasjon. I fravær av slike noder ASP.NET gir ubegrenset tilgang til et nettsted. Men hvis disse elementene er tilstede brukere blir omdirigert til en side dedikert til autentisering (vanligvis en innloggingsside der brukerne må oppgi brukernavn og passord).

Her er et eksempel web.config med disse nodene

du kan se at det var satt som autentisering metode og som en form side der brukerne blir omdirigert til login.aspx siden.

ASP.NET inkluderer en stor støtte for brukerautentisering. Det sentrale element i denne sammenheng er FormsAuthentication klassen, som tilbyr en rekke forskjellige funksjoner som spenner fra den krypterte passord til opprettelsen av autentisering cookies, gå for en rekke andre aspekter

For å undersøke spørsmålet om sikkerheten i ASP.NET Jeg inviterer deg til å konsultere en artikkel skrevet av meg og presentere denne siden .

• <<Forrige Leksjon
• Hjelp
• Neste Leksjon>>