ASP.NET 2.0中保证应用程序的安全

网络整理 - 08-07
成员和角色管理器提供程序--现在ASP.NET 2.0包含了内建的成员和角色管理服务。由于这些服务都是提供程序驱动的(provider-driven),你可以轻易地变更它,或者用自定义实现来代替它。

  登录控件--新的登录控件为站点的基于认证和授权的UI(例如登录窗体、创建用户窗体、密码取回、已登录用户或角色的定制UI)提供了基本模块。这些控件利用ASP.NET 2.0中的内建的成员和角色服务与站点所定义的用户和角色信息交互操作。

  大多数Web应用程序的一个重要的部分是辨别用户并控制资源的访问权。检测请求的实体(entity)身份的操作就是认证(authentication)。通常,为了进行认证,用户必须提供凭证,例如帐号/密码。一旦认证过的身份是有效的,就必须检测该身份是否能够访问指定的资源,这个过程就是授权(authorization)。ASP.NET与IIS一起为应用程序提供认证和授权服务。

  COM对象的一个重要特性就是,它能够控制那些运行COM对象代码的身份。当COM对象用请求的实体身份运行代码的时候,就称为模仿(impersonation)。ASP.NET框架组件应用程序可以选择模仿请求。

  有些应用程序还希望根据请求的身份或者根据请求的身份所属的角色来动态地定制内容。ASP.NET框架组件应用程序可以动态地检测当前请求的身份是否属于某种角色。例如,应用程序可能希望检测当前用户是否属于管理员角色,以便为管理员有条件地生成内容。

  ASP.NET 2.0的成员特性使你创建和管理用户更加容易了。成员特性一般与另外一个叫做角色管理器的新特性一起运作。角色管理器为创建角色和给角色指定用户提供了下层结构。当成员、角色管理器特性和窗体认证一起工作的时候,ASP.NET 2.0就可以为创建、认证和授权用户提供端对端的支持。

  成员和角色管理器都是用基于提供程序的模型设计的。提供程序从特性所暴露的类和业务逻辑中提取特性的物理数据存储。成员和角色管理器特性都带有Microsoft SQL Server提供程序。成员特性还带有一个用于处理活动目录和活动目录应用程序模式(ADAM)的提供程序。角色管理器特性带有一个能利用Windows Server 2003授权管理特性的提供程序。你可以建立自定义的提供程序,并配置它与成员和角色管理器特性一起使用。使用自定义提供程序的时候,利用成员和角色管理器特性的页面仍然会继续工作,毫无改变。

  登录控件是一组自定义的服务器控件,它为认证和授权事务提供了公用的用户界面。登录控件利用了成员、角色管理器和窗体认证特性中的功能。

  认证和授权

  ASP.NET与IIS一起支持使用基本的、Digest和Windows认证。ASP.NET支持微软Passport认证服务,它支持单点登录服务和用户配置服务。ASP.NET还支持一种使用基于窗体认证的强大的服务。基于窗体的认证使用Cookie来认证用户,并允许应用程序执行自己的凭证验证过程。
我们要认识到,ASP.NET认证服务是受到IIS提供的认证服务制约的。例如,为了在IIS应用程序中使用基本认证,你就必须使用Internet服务管理工具来配置应用程序以使用基本认证。

  ASP.NET提供了两种授权服务:

  · 检查ACL(访问控制列表)或资源权限,看某个认证过的用户是否能够访问该资源。

  · URL授权,它批准一个身份使用一定的Web空间。

  为了演示它们的差别,我们来看一个例子,假设某个应用程序允许匿名用户使用IUSR_MYMACHINE帐号访问。当某个ASP.NET页面(例如"/default.aspx")的请求通过认证之后,就会依据该文件(例如"c:\inetpub\wwwroot\default.aspx")的ACL进行检查,看IUSR_MYMACHINE帐号是否有权限读取这个文件。如果有权限,就对访问进行授权。如果Web内容位于NTFS卷中,并且已经配置了虚拟目录使用Windows认证,文件的授权就会自动地执行。

  对于URL授权来说,会依据ASP.NET应用程序的配置数据来进行检查。如果允许访问被请求的URL,请求就获得授权了。在例子中,ASP.NET检查匿名用户是否有访问/Default.aspx的权限(也就是说,检查过程是依据URL本身的,没有依据URL最终解析成的文件)。

  这种差别看起来很细微,但是它让应用程序能够使用类似基于窗体的认证或Passport认证,在这些认证模式中用户不需要与计算机或域帐号相对应。它还允许你进行虚拟资源的授权(在资源下方并没有物理文件)。例如,应用程序可以把所有对.stk文件的请求映射给一个处理程序,它根据查询字符串中的变量来进行证券报价。在这种情况下,没有物理的.stk文件可供ACL检查,因此使用URL授权来控制虚拟资源的访问权。

  文件授权通常依赖IIS提供的通过认证的帐号来执行。如果允许匿名访问,它就是配置的匿名帐号。否则,就是NT帐号。它的工作方式跟ASP是一样的。

  在资源管理器属性页面的"安全"选项卡中可以设置文件或目录的ACL(访问控制列表)。URL授权被配置为ASP.NET框架组件应用程序的一部分,在"授权用户和角色"部分有完整的讲解。

  为了激活ASP.NET的认证服务,你必须在应用程序的配置文件中配置<authentication>元素。这个元素可以包含下表列举的任何值。

值描述

None没有激活的ASP.NET认证服务。请注意IIS认证服务仍然存在。

WindowsASP.NET认证服务给当前请求附加上WindowsPrincipal (System.Security.Principal.WindowsPrincipal),以保证根据NT用户或组进行授权。

FormsASP.NET认证服务管理cookie并把未认证的用户重定向到登录页面。它通常在IIS允许匿名访问应用程序的时候使用。

PassportASP.NET认证服务提供了Passport SDK (你必须安装)的一个方便的包装。


  例如,下面的配置文件允许应用程序使用基于窗体(cookie)的认证:

<configuration>
<system.web>
<authentication mode="Forms"/>
</system.web>
</configuration>