实现Web应用程序的安全控制

1、实现web应用程序的安全控制学习目标学习目标 web应用程序安全性的基本概念。 配置asp.net web应用程序的的安全。 成员资格概述。 使用web登录控件管理用户。 使用角色管理授权。web应用程序安全性的基本概念 web应用程序安全性包含下列两方面的功能： （1）身份验证 验证用户的身份。即通过获取用户的凭据（各种形式的标识，如用户名和密码），并通过某些授权机构验证获取的用户凭据。如果这些凭据有效，则将提交这些凭据的实体视为通过身份验证。 （2）授权 授权用户对应用程序资源的访问权限。即通过对已验证身份授予或拒绝对特定资源的访问权限，以实现资源的访问保护和限制。asp.net安全结构

2、asp.net用户身份验证 结合internet信息服务（iis），asp.net验证用户身份的方法包括： windows验证 forms身份验证 microsoft passport身份验证asp.net资源授权访问 结合iis目录权限控制、web.config配置文件和windows ntfs文件系统权限，asp.net可以实现对web应用程序的资源授权访问： 主目录/虚拟目录权限：通过iis，设置iis主目录路/虚拟目录的访问权限。 web.config配置文件：使用web.config，声明列出了已授权用户、已授权角色（组）对各资源的访问权限。 ntfs文件系统权限asp.net 配置

3、文件安全设置 web.config配置文件中用于安全的配置主要包含三个主要的配置节： authentication authorization locationauthentication节 authentication节用于配置asp.net身份验证方案。 可以指定应用程序使用的验证模式：windows（默认）/ forms/ passport/ none。 authentication节配置格式如下： . authorization节 authorization节用于配置web应用程序的授权，以控制客户端对url资源的访问权限。 例1，下列配置代码允许所有admins角色成员访问，拒绝所有

4、其他用户访问： location节 location节用于指定应用到特定文件或目录的设置。 例如，下列配置代码允许允许匿名用户访问logon.aspx页面： demo:配置asp.net的安全 操作实例10-1：配置asp.net的安全 操作任务：配置第9课创建的学生成绩管理系统asp.net web数据库应用程序的安全，当未登录用户访问登录页面以外的页面时，自动跳转到登录页面。windows验证概述 在asp.net应用程序中，windows身份验证将microsoft internet信息服务（iis）所提供的用户标识视为已经过身份验证的用户。 iis提供了下列几种用于验证用户标识的身份验

5、证机制： 匿名身份验基本身份验证 摘要式身份验证 windows集成身份验证 基于客户端证书的身份验证 forms身份验证概述 使用forms身份验证（即基于窗体的身份验证）时，应用程序通过用户提供的登录用户界面并进行自己的凭据验证。 asp.net对用户进行身份验证，将未经身份验证的用户重定向到登录页，并执行所有必要的cookie管理。 要使用forms身份验证，必须配置web.config文件，设置的模式为forms以启用基于窗体的身份验证，并拒绝匿名用户访问。使用iis进行安全授权 使用iis进行安全授权 （1）ip地址及域名限制 （2）主目录/虚拟目录访问许可demo:配置iis虚拟目

6、录的权限 操作实例10-2：配置iis虚拟目录的权限 操作任务：设置网站webdb的虚拟目录webdb访问许可，允许用户列目录和写入权限。ntfs文件系统访问权限 通过使用ntfs文件系统和访问控制列表(acl)指定哪些用户和哪些用户组可以访问应用程序文件 可以在操作系统级别上保护asp.net应用程序文件，以提高该应用程序的安全性。 具体操作方法请参阅windows的在线帮助。成员资格的基本概念 asp.net成员资格（membership）提供了一种验证和存储用户凭据的内置方法。 结合asp.net成员资格、asp.net forms身份验证、asp.net登录控件，用户可以高效地创建一个

7、完整的用户身份验证系统。 成员资格包括两个主要类： （1）membership（2）membershipuser 配置网站以使用成员资格 要使用成员资格，必须先配置应用程序使用的成员资格提供程序。 在应用程序的web.config文件中，system.web节子元素membership用于配置asp.net成员资格。 默认情况下，machine.config配置文件包括一个默认的提供程序，指向应用程序子目录app_data下sql server本地数据库aspnetdb.mdf创建用户 使用成员资格方式管理用户时，可以使用下列三种方法创建新用户： （1）使用网站管理工具 使用网站管理工具，通过

8、图形界面，可以直接创建和管理用户。 （2）使用编程方式 使用自定义创建用户页面，在事件处理程序中，调用成员资格函数以编程方式创建和管理用户。 （3）使用登录控件 使用createuserwizard控件，自动实现创建新用户的功能。用户登录页面 将应用程序配置为使用forms身份验证时，使用loginurl属性指定用于验证的页面（一般为login.aspx）。 实现用户登录页面的方法有两种： （1）使用登录控件 使用包含login控件的页面，自动验证用户输入的用户名/密码。验证成功后，将经过身份验证的用户重定向回最初请求的url或默认url。 （2）使用自定义页面 创建自定义页面，一般包括用户名

9、和密码文本框。使用membership.validateuser方法验证用户输入的用户名/密码。web登录控件的概念 asp.net 2.0提供了一系列的服务器登录控件（login、loginview、loginstatus、loginname和passwordrecovery） 登录控件实际上封装了使用成员资格进行验证的所有逻辑。 登录控件使用asp.net 2.0中内置的成员资格服务和角色服务，与站点中定义的用户和角色信息交互。 登录控件可以向站点添加身份验证和基于授权的用户界面，如登录窗体、创建用户的窗体、密码检索，以及已登录的用户或角色的自定义用户界面。login 控件 login控件

10、提供用户登录网站的用户界面。 login控件使用成员资格服务在成员资格系统中对用户进行身份验证。createuserwizard 控件 createuserwizard控件提供用于创建新网站用户帐户的界面 根据用户输入的信息，使用成员资格提供程序，在成员资格数据存储区创建新用户帐户。loginview 控件 loginview控件用于根据用户的身份验证状态（匿名用户或登录用户）、以及登录用户所属的角色，来显示不同的网站内容模板。 loginview控件自动检测用户的身份验证状态和角色，并将该信息与要向用户显示的信息的适当模板匹配。 loginview控件由一个模板集合组成，各模板可与一个身份验

11、证状态或者一个或多个角色组相关联。loginstatus 控件 loginstatus控件自动检测用户的身份验证状态（request.isauthenticated），并显示适当的登录/注销选项。 当单击【登录】按钮，将用户重定向到该网站的登录页。loginstatus控件将从web.config文件窗体身份验证节检索登录页的url。 当单击【注销】按钮，将清除用户的身份验证状态，并且执行相应的注销行为。loginname 控件 loginname控件在页上显示当前经过身份验证的用户名（page.user.identity.name）。 如果用户没有登录，则该控件不在页上呈现，并且不占任何视觉

12、空间。 通过设置formatstring属性，可以更改由loginname控件显示的文changepassword控件 changepassword控件提供修改密码的用户界面。 changepassword控件在web页面中的呈现一般包括下列内容包括2个状态（视图）： 【更改密码】视图：要求先输入当前密码，然后输入新密码/确认新密码。通过设置displayusername属性为true，可显示username文本框，以未登录用户修改密码或修改其它用户的密码。 【成功】视图：显示已成功更改密码的确认信息。passwordrecovery控件 passwordrecovery控件提供用户恢复密码的

13、用户界面。 passwordrecovery控件提供根据用户名检索或重置用户密码的功能。然后将用户密码通过电子邮件发送给用户。 该控件不支持在用户的web浏览器中向用户显示密码。demo:使用createuserwizard控件创建用户注册页面 操作实例10-3：使用createuserwizard控件创建用户注册页面 开发任务：创建新用户注册页面register.aspx。demo:使用login控件创建登录页面 操作实例10-4：使用login控件创建登录页面 开发任务：使用login控件创建登录页面login.aspx。demo:使用loginview控件检测用户身份 操作实例10-5：

14、使用loginview控件检测用户身份 开发任务：使用loginview控件创建用户身份检测页面loginview.aspx。使用changepassword控件创建密码修改页面 操作实例10-6：使用changepassword控件创建密码修改页面 开发任务：使用changepassword控件创建密码修改页面changepassword.aspx。使用passwordrecovery控件创建密码恢复页面 操作实例10-7：使用passwordrecovery控件创建密码恢复页面 开发任务：使用passwordrecovery控件创建密码恢复页面loginpasswdrecovery.asp

15、x。角色管理的基本概念 角色管理主要用于授权管理。 角色相当于操作系统的组，可以创建不同的角色，如administrators、users、guests等，然后把用户添加到相应的角色中。 创建角色后，可以在应用程序中创建基于角色的访问规则。 基于角色的授权管理，可以大大减少系统管理的工作量。 配置网站以使用角色管理 若要使用asp.net角色管理，需要在web.config文件中启用它，配置代码如下： 创建角色和将用户分配给角色 使用成员资格方式管理角色时，可以使用下列两种方法创建新角色： （1）使用网站管理工具 使用网站管理工具，通过图形界面，可以直接创建和管理角色、添加用户到角色、从角色中

16、删除用户等操作。 （2）使用编程方式 使用roles.createrole方法，创建一个新角色；使用roles.addusertorole方法，把用户添加到角色；使用roles.removeuserfromrole方法，把用户从角色中删除。配置基于角色的访问规则 通过配置基于角色的访问规则，可以控制不同页面的访问授权。 可以使用下列两种方法创建新访问规则： （1）使用网站管理工具 使用网站管理工具，通过图形界面，可以直接允许和拒绝不同角色访问页/文件夹面的访问规则。 （2）直接编辑web.config文件 使用system.web节中的authorization元素，可以配置基于角色的访问规则

17、。以编程方式检查授权 使用编程方式，在页面或控件事件处理程序中，使用user.isinrole可以判断当前用户是否属于某种角色，从而根据不同的角色执行不同的操作。 demo:使用网站管理工具创建角色 操作实例10-8：使用网站管理工具创建角色 操作任务：使用角色管理器创建administrators角色，并指定用户“jiang hong”成为administrators角色的成员。demo:使用网站管理工具创建基于角色的授权规则 操作实例10-9：使用网站管理工具创建基于角色的授权规则 开发任务：使用角色管理器控制页面访问授权：如果是administrators组成员身份登录，则跳转到管理员用户身份访问页面