Správa zabezpečenia aplikácií ASP.Net

Často webové stránky obsahujú stránky, ktoré by nemali byť k dispozícii na prezeranie každý, ale len určité typy užívateľov. Hovorí sa o overenie užívateľa vo vzťahu k praxi používané na zabezpečenie toho, aby užívatelia sú vlastne tí, ktorí tvrdia, že sú, a táto prax je založená na zdieľanie informácií (napríklad heslo). Hovorí miesto, ktorým užívateľom sa odkazovať na prax povoliť alebo zakázať na základe povolenia a / alebo role, ktoré im o povolenie k prístupu na niektoré stránky na niektorých užívateľov, ktorí sú overené.

Bezpečnostný softvér je téma veľký význam v posledných rokoch. Keď webové aplikácie beží v prostredí Microsoft musí brať do úvahy niektoré základné aspekty: v kontexte zabezpečenia (bezpečnostnú situáciu) IIS, ako sa overovanie používateľov a ich oprávnenia.

Správa zabezpečenia na webe je veľmi podobná činnosti typické systému riadenia bezpečnosti, kde musia spoliehať na autentifikáciu a autorizáciu užívateľov. Avšak, bezpečnosť na internete poskytuje pre riadenie klientov, ktorí využívajú rôzne platformy, takže máte menšiu kontrolu než uzavreté siete (ako siete Windows v kancelárii). V skutočnosti, uzatvorenej správcovi siete lepšie monitorovať celý systém, poskytnutím alebo odmietnutím prístupu k užívateľom z rôznych dostupných zdrojov. Používatelia webovej aplikácie, ale je oveľa početnejšie, a preto potrebujú iný prístup (externé infraštruktúry Windows) overiť a autorizovať seba.

Prvý bezpečnostný problém, ktorý sa stretol s tým, vývoj webových aplikácií v prostredí Windows je pochopiť v kontexte zabezpečenia služby IIS. Prakticky všetky prístup prejsť na webové stránky pomocou služby IIS, a ako všetky aplikácie Windows, že je služba spustená v určitom kontexte. Ak je IIS nainštalovaná v počítači, inštalačný proces vytvára bezpečnostné identity (bezpečnostné identity), oddeliť ich.

A "je možné určiť totožnosť podľa ktorých naša verzia IIS beží začal, vyberte virtuálny adresár, prístupom na okno Vlastnosti a kliknutím na vzdialený prístup a overovania. V tomto bode sa nasledujúce okno

Ako môžete vidieť na mojom počítači je IUSR identity.

V predvolenom nastavení IIS sa zaoberá virtuálne adresáre pomocou anonymného overovania. Ak je tento režim určený pomocou užívateľského IIS, ktorý sme práve videli a je k dispozícii prostriedky, dostupné. IIS podporuje aj ďalšie typy overovania, vrátane overovania systému Windows. V druhom prípade je nutné zadať pre všetkých potenciálnych používateľov Windows užívateľské meno a heslo. Avšak, tento typ overovania dobre funguje s používateľmi, ktorí používajú Windows, ale pre užívateľov, ktorí používajú iné operačné systémy, je nutné použiť iný typ overovania, ako mechanizmus zabezpečenia pre používateľov Windows dostupný nie je k dispozícii pre iné systémy, a preto užívatelia nemohli overiť.

Našťastie ASP.NET obsahuje tzv overovanie formulárov, jednoduchý, ale účinný nástroj predstavený v verisone 1.0. To je dané tým, web.config súboru webové aplikácie, ktorá okrem prvkov už videli, ale tiež obsahuje uzly autentizácie a autorizácie. V prípade neexistencie takejto uzly ASP.NET umožňuje neobmedzený prístup k webu. Avšak, ak tieto prvky sú prítomné sú užívatelia presmerovaní na stránky venované overovania (typicky prihlasovaciu stránku, na ktorej musia používatelia zadať užívateľské meno a heslo).

Tu je ukážka web.config s týmito uzlami

Môžete vidieť, že to bola ako metóda overovania a ako forma stránku, na ktorej sú užívatelia presmerovaní na stránku Login.aspx.

ASP.NET obsahuje veľkú podporu pre autentizáciu používateľov. Kľúčovým prvkom je v tejto súvislosti FormsAuthentication triedy, ktorá ponúka celý rad rôznych funkcií, od šifrované heslo k vytvoreniu autentizačné cookies, bude pre celý rad ďalších aspektov

Preveriť otázku bezpečnosti v ASP.NET Pozývam vás poradiť článok som napísal ja, a predložiť túto stránku .

• <<Predchádzajúci lekcie
• Nápoveda Index
• Ďalšia lekcia>>