浅析基于ASP.NET Web应用程序的安全机制[权威资料]

浅析基于ASP.NET Web应用程序的安全机制[权威资料] 浅析基于ASP.NET Web应用程序的安全机制 本文档格式为WORD,感谢你的阅读。 【摘 要】Web应用程序的开发中，安全性是要考虑的关键问题，本文通过对ASP.NET Web应用程序的身份验证及授权机制的分析和研究总结了提升Web应用程序的安全性的关键问题和技术方法。 【关键词】Asp.net安全机制;Web应用程序;身份验证 0.引言 随着ASP.NET 技术的不断发展，ASP.Net已经成为未来Web应用开发的趋势，然而不少ASP.NET技术开发的网站因安全意识不强、没有周密的安全 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 、只重视硬件防火墙等网络层的安全技术，而对网站安全性的设计考虑不够等原因面临着各种威胁和攻击。有效的抵御这些攻击才能建立安全牢固的web应用程序服务，因此，安全性已经成为基于ASP.Net Web应用程序开发中首要考虑的关键问题。本文主要探讨基于ASP. Net的安全机制，即网站的身份验证和授权。 1. ASP.NET的安全机制 正确辨别用户身份，并且严格控制用户对资源的访问，这是Web应用程序安全性中最重要的，也是最基本的一环。ASP.NET安全机制提供了两项主要功能，即验证和授权。ASP.NET与IIS、.NET Framework 协同工作，可以实现多种身份验证和授权机制。 1.1 身份验证 身份验证是确认客户端身份的过程，从客户端获取用户凭据， 并根据指定的颁发机构来验证凭据的过程。身份得 到验证后，应用程序就能授权客户端访问系统资源，ASP.NET提供了3种验证模式，分别为Windows、Forms和Passport。ASP.NET验证是通过在Web.config配置文件中添加选项来实现的，如下所示: 1.1.1 Windows身份验证 Windows身份验证适合于Intrant 站点(企业内部站点)， 或事先知道有哪些用户将访问站点。因为应用程序必须为每一个用户建立一个Windows账户，并提供访问站点的用户名和密码，如果站点用户数量很多可以使用组。 (1)Windows身份验证的工作 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 使用Windows身份验证模式时， ASP.NET应用程序完全依赖于IIS对用户进行验证，并创建一个Windows访问令牌来表示已通过验证的标识。如果所请求的资源允许匿名访问，则不进行身份验证，否则IIS将请求发送到ASP.Net程序去处理，如果身份未通过或未被授权则拒绝访问，IIS总是将用户凭据映射到windows账户并用它来验证用户。 (2)Windows身份验证的特点 Windows身份验证把验证的任务移交给IIS处理，不需要开发人员编程处理，并且使Web站点完全集成IIS安全性，通过Windows访问控件列表ACL来控制对文件的访问，通过 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 工具对用户账户进行管理，安全性高。 但是，Window身份验证只能用于内网，用户不能通过客户端自己注册用户，网站用户的增加和删除不方便。 1.1.2 Forms身份验证 Forms身份验证也称窗体验证，是多数Web应用程序进行身份验证的固定模式。窗体身份验证中，用户信息已经提前保存在数据库中，对Web应用程序中网页的访问权限的控制比较灵活，我们可以将网站的网页分为两类: 一类是常规性的网页，允许匿名访问。对此类网页的访问请求Asp.net不做限制，只要用户的IP 地址与域名称被IIS 认可，可以 随时接受访问;另一类是含有重要的保密信息的网页，对这类网页的访问，必须由Asp.net进行验证。 (1)Forms身份验证工作流程 当Asp.net应用程序得到验证请求时，首先是检查该请求的标头中是否含有一份验证Cookie(身份验证票)，如果没有，表示该位用户没有通过验证，此时便会将请求重定向至登录网页，用户在登录页上提交正确的用户凭据( 用户名和密码)， 就会生成一个身份验证票证并将其写入Cookie发送到客户端，然后重定向到用户原始请求的页上。当用户在同一会话中再次请求该页时，请求头中将包含身份验证票证的Cookie以便再次验证和授权。 (2)Forms身份验证的特点 窗体身份验证完全在ASP.NET内部实现，所以我们可以完全控制身份验证的执行代码，而不依赖任何外部系统。 在Forms身份验证中，用户凭证(用户名和密码)的存储方式比较灵活，用户凭证可存放在web.config文件中， 还可以存在XML文件或数据库中。在web.config中只能存储用户名和密码，而后两种方式下还可以存放附加信息，而且后两种方式增减用户方便( 用户在客户端就可申请注册用户凭证)。 1.1.3 passport验证方式 Passport验证的工作原理与窗体验证类似，都是在客户端创建Cookie。使用Passport验证时，用户将被重定向至Passport登录网页，该页面需要用户填写验证资料，窗体将通过Passport服务来检查用户的证件，以确定用户的身份是否有效。如果用户证件通过了验证，则为它在客户端计算机上建立一个验证Cookie。 1.2 授权 用户通过了ASP.NET网站的身份验证并不能说明该用户具有访问该网站资源的权限，我们还需要给用户授予所请求资源的权限，此过程称为授权。授权的目的是确定是否应 该授予某个用户对给定资源请求的访问权限类型，有两种基本方式来授予对给定资源的访问权限，有两种基本方式来授予对给定资源的访问权限:文件授权和URL授权。 文件授权是通过检查.aspx或.asmx处理程序文件的访问控制列表( ACL)，来确定用户是否应该具有对文件的访问权限。这种授权必须在Windows验证模式下实现。 URL授权是根据URL来进行授权，它将用户和角色映射到应用程序的URL中，从而决定是否有该资源的访问权。这种授权必须在Forms验证模式下实现。 2.窗体身份验证的实现 Asp.net中，主要使用3种方法实现窗体身份验证: ?利用web.config 实现验证?利用数据库实现验证?利用XML文件实现验证。本文只探讨方法?的实现思路。 首先，完成数据库的设计。在数据库中添加一个用户表，含有userName(用户名)、passWord(密码)等字段，用户的身份信息保存在该表中，并对passWord 字段使用MD5算法加密。 其次，设计用户登录界面。在Web应用程序中添加登录页面Login.aspx，并在页面中添加需要的标签、文本框和按钮等控件。设计好界面后，在“登录”按钮的单击事件中，对登录页面提供的账号密码信息，同数据库中用户名和密码信息进行比较，如相符则验证成功，否则重定向到登录页面中。 3.结束语 ASP.NET的安全机制给网站的开发提供了很好的安全性，本文对基于ASP.NET网站的安全机制进行了分析，结合窗体验证方式的实例给出ASP.NET网站的安全性的设计策略。通过这些策略能使ASP.NET网站的安全性得到进一步的提高，有效的防范了网站的非法攻击，确保了网站数据的安全性。 参考文献: [1]赵强.基于ASP.NET的网站系统安全性设计与实现[j].计算机应用，2008，(12). [2]冯伟.基于ASP.NET技术的网站安全性分析[j].淮南职业技术学院学报，012，(12):32-36. [3]范振钓，丛云飞.提升ASP.NET应用程序安全性能的策略.通化师范学院学报，2012，(33):14-15. 文档资料:浅析基于ASP.NET Web应用程序的安全机制 完整下载 完整阅读 全文下载 全文阅读 免费阅读及下载 阅读相关文档:网络入侵检测模型方法研究 基于物联网技术的实验室设备信息化管理系统设计 基于.NET技术的学生公寓管理信息系统的设计与研究 浅析物联网技术在高校校园中的应用 FPGA并行接口设计中DCM与IOB的研究 网络环境下图 书 关于书的成语关于读书的排比句社区图书漂流公约怎么写关于读书的小报汉书pdf 馆信息资源共建共享存在的问题及对策 110KV及以下变电检修分析 4G网络发展的关键技术及前景探讨 略谈输电线路不停电跨越架线施工技术 浅谈10kV配网雷害原因及防治对策 配电网抗灾变性分析及其在配电网规划安全运行中的应用 阀控铅酸蓄电池核对性充放电的几点思考 浅谈110kV变电站各电压等级断路器的防跳问题 10kV农网低电压产生原因及应对措施 双母线接 最新最全【学术论文】【总结报告】 【演讲致辞】【领导讲话】 【心得体会】 【党建材料】 【常用范文】【分析报告】 【应用文档】 免费阅读下载 *本文收集于因特网，所有权为原作者所有。若侵犯了您的权益，请留言。我将尽快处理，多谢。*