AS P.N ET的安全模式
根据所请求资源的类型,IIS能够自己处理请求,也可以不自己处理请求ASP.NET支持的4种授权方法:
Form: 窗体验证,验证帐号/密码,Web编程最佳最流行的验证方式
认证与授权:
认证是确定用户身份的过程。在用户通过了身份验证后,开发人员就可以确定该用户是否有权继续操作。如果没有进行身份验证,就不能进行实体的授权
授权是确定已验证的用户是否有权访问应用程序中的某个部分、某个点或只访问应用程序提供的特定数据集
授权流程:
forms的主要属性:
name:这是赋予 cookie的名字,该cookie用于在请求之间保存用户。该默认值是 .ASPXAUTH
loginUrl:如果没有找到有效的验证 cookie,就指定请求重定向的URL
protection:指定要应用于验证cookie的保护级别,它有4个设置All:应用程序使用数据有效性验证和加密机制来保护 cookie。这是默认设置。
None:不加密 cookie。
Encryption:加密 cookie,但不对它进行数据有效性验证。
Validation:进行数据有效性验证,但不加密 cookie
path:指定应用程序所存储cookie的路径。在大多数情况下应用/,它是默认设置
timeout:指定cookie过期的时间(分钟),其默认值为30分钟
cookieless:制定在进行验证和授权过程中,基于窗体的身份验证过程是否使用cookie
defaultUrl:指定默认的URL
domain:指定要与窗体身份验证一起发送的域名
对密码进行加密:
Clear:密码存储为明文。用户的密码直接与这个值比较。
MD5:密码使用散列摘要进行存储。使用MD5算法进行散列,再与这个值进行相等比较。这个算法比SHA1的性能好。
SHA1:密码使用SHA1散列摘要来存储。在验证证书时,用户密码使用SHA1算法进行散列,再与这个值进行相等比较。这个算法的安全性最高
<authorization>配置对用户进行授权
<authorization>配置节用来对用户进行授权,在实现用户授权过程中,应该遵循以下两个应用规则:
一是位于较低目录级别的配置文件中包含的规则,优先于位于较高目录级别的规则
二是对于给定URL的一组合并的规则,系统从列表头开始,检查规则直到找到第一个匹配项为止
<authorization>配置:
deny阻止访问用户
allow允许访问用户
?代表匿名用户
*代表任意用户
多个用户之间用“,”隔开
一个小例子:
<authorization>配置对用户进行授权代码块:
<!-- 通过 <authentication> 节可以配置 安全身份验证模式,ASP.NET 使用该模式来识别来访用户身份。 --> <!--<authentication mode="Windows" />--> <authentication mode="Forms" > <forms loginUrl="logde.aspx" defaultUrl="Default.aspx"> <credentials passwordFormat="Clear"> <user name="admin" password="admin"/> <user name="user" password="123456"/> </credentials> </forms> </authentication>登录页面代码块:
<form id="form1" runat="server"> <div> <asp:TextBox ID="TextBox1" runat="server"></asp:TextBox> <br /> <asp:TextBox ID="TextBox2" runat="server"></asp:TextBox> <br /> <asp:Button ID="Button1" runat="server" Text="登录" onclick="Button1_Click" /> </div> </form>
登录页面后台代码块:
protected void Button1_Click(object sender, EventArgs e) { string name = TextBox1.Text; string password = TextBox2.Text; //if (name == "admia" && psw == "admia") //{ // FormsAuthentication.RedirectFromLoginPage(name, false); //} //帐号admin密码admin的用户才能登录 if (FormsAuthentication.Authenticate(name,password)) { //Response.Write(FormsAuthentication.HashPasswordForStoringInConfigFile("admin","MD5"));//输出MD5密码加密的密码 FormsAuthentication.RedirectFromLoginPage(name, false); } }
首页代码块:
<form id="form1" runat="server"> <div> 首页 </div> </form>
默认页面代码块:
<form id="form1" runat="server"> <div> 默认界面 </div> </form>
管理员页面代码块:
<form id="form1" runat="server"> <div> 管理员页面 </div> </form>