第 21卷 第 12期
2006年 12月
乐山师范学院学报
Journal of Leshan Teachers College
V01.21.No.12
Dec.2o06
构建安全的 ASP.NET Web应用程序
陈 浩
(雅安职业技术学院 机械 电子 系,四川 雅安 625000)
摘 要:计算机信息时代 ,安全是的一个非常重要的方面。安全更是程序开发者必须的问题,尤其是在Web程序开发
中。本文以如何实现表单身份验证和 Windows身份验证、Passport验证等具体的实例来论述 AS ̄NET WEB应用程序开发
时的相关安全设置问题。
关键词 :ASP.NET;安全体系结 构 ;文件的配置 ;身份验证
中图分类号:TP31 文献标识码 :A 文章编号:1009—8666(2006)I2-0123---06
随着 Microsoft公司于 2000年推出了.NET框架,
为了能更好的为.NET框架服务 。Microsoft推出了 WEB
开发环境 ASP的接替者——AsP.NET 。原来基于ASP
开发的网站大部分都转而使用 ASP.NET,在开发设计
ASRNET应用程序时 ,安全是一个非常重要 的方面。不
允许未经授权的用户访问 Web站点的敏感信息,注意
防范恶意代码攻击,以及防止竞争对手窃取信息等等
都是属于安全方面的问题 。本文就将在以下几个方面
讨论如何提高 ASP.NET Web应用程序的安全性 :ASP.
NET安全体 系结构 ,Web.config文 件的配置 ,Windows
身份验证,表单身份验证,Passport身份验证。
1 NET Web应用程序安全结构
1.1 NET安全结构
在整个安全体 系当中 ,ASP.NET与 IIS、.NET框架
图 1.1 NET安全结构
和操作系统所提供 的基础安全服务配合使用 ,共同提
供一系列身份验证和授权机制。
上图就说明了.NET的整个安全体系结构。在整个
安全体系中,由上到下分为四个方面的安全:
(1)ns所提供的身份验证和授权。IIS使用基本 、
摘要、集成或证书身份验证对调用方进行身份验证。如
果站点的所有或部分 内容不需要经过身份验证即可访
问 ,则可以将 IIS配置为使用匿名身份验证。
(2)ASP.NET提供的身份验证与授权。这个地方的
安全设置 主要是配置在安装 目录下 的 machine.config,
web站点的根 目录下的 web.config,应用程序虚 目录根
下的web.config,应用程序虚根 目录下的子 目录中的
web.config。
(3)Enterprise Services提供的身份验证 与授权。
(4)SQL Server提供的身份验证与授权 。此时的安
全设置主要是在 SQL se ̄er当中进行设置 。
1.2 在 ASP.NET中对调用方进行的身份验证
(1)如果将 ASP.NET配置为使用 Windows身份
验证 ,则此 时不会发生 任何其他 的身份验证 。ASP.
NET 将接受它从 IIS收到的任何令牌。
(2)如果将 ASP.NET配置为使用表单身份验证 ,
将根据数据存储对调用方提供的凭据进行 身份验证
收稿 日期 :2006—10-15
作者简介: ̄ b.(1976-),男,四川汉泺人 ,雅安职业技术学院机械电子系软件工程师。
123
器一
维普资讯 http://www.cqvip.com