asp.net 中用户和角色的验证

http://support.microsoft.com/default.aspx?scid=kb;zh-cn;306590

本文引用下面的 Microsoft .NET Framework 类库命名空间: •System.Web.Security
System.Web.Principal

请求的安全性事件流

以下步骤简要介绍了在客户端发出请求时发生的事件序列: 1.客户端请求 IIS 服务器上的一个 .aspx 页。
2.将客户端凭据传递给 IIS。
3.IIS 对客户端进行身份验证,然后将经过身份验证的标记随客户端请求一起传送到 ASP.NET 工作进程。
4.根据 IIS 传送的经过身份验证的标记以及 Web 应用程序的配置设置,ASP.NET 决定是否在处理请求的线程上模拟用户。Microsoft Active Server Pages (ASP) 和 ASP.NET 的明显区别是,ASP.NET 在默认情况下不再模拟经过身份验证的用户。若要启用模拟,必须在 Web.config 文件中将 identity 部分中的 impersonate 属性设置为 true

相关配置设置

IIS 在 IIS 配置数据库中保存与安全性有关的配置设置。但是,ASP.NET 在可扩展标记语言 (XML) 配置文件中保存安全(及其他)配置设置。虽然从安全性的角度来看,这通常可简化应用程序的部署,但应用程序采用的安全模型要求通过其配置文件 (Web.config) 来正确配置 IIS 配置数据库和 ASP.NET 应用程序。

以下配置部分与 ASP.NET 安全性有关: • |

  1<authentication> 部分   
  2http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpgenref/html/gngrfauthenticationsection.asp   
  3---|---  
  4•  |  <authorization> 部分   
  5http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpgenref/html/gngrfauthorizationsection.asp   
  6•  |  <identity> 部分   
  7http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpgenref/html/gngrfidentitysection.asp   
  8•  |  <machinekey> 部分   
  9http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cpgenref/html/gngrfmachinekeysection.asp   
 10  
 11###  身份验证 
 12
 13身份验证是指以下过程:获取标识凭据(如用户名和密码),并对照某一颁发机构来验证这些凭据。   
 14  
 15ASP.NET 提供了四个身份验证提供程序:  •  |  表单身份验证   
 16---|---  
 17•  |  Windows 身份验证   
 18•  |  Passport 身份验证   
 19•  |  默认身份验证   
 20  
 21####  表单身份验证 
 22
 23表单身份验证是指以下系统:将未经身份验证的请求重定向到一个超文本标记语言 (HTML) 表单,使用户能够在其中键入他们的凭据。在用户提供凭据并提交该表单后,应用程序对请求进行身份验证,然后系统以 Cookie 的形式发出身份验证票证。此 Cookie 包含凭据或用于重新获取标识的密钥。浏览器的后续请求自动包含此 Cookie。   
 24  
 25
 26
 27####  Windows 身份验证 
 28
 29在 Windows 身份验证中,IIS 执行身份验证,并将经过身份验证的标记传递给 ASP.NET 工作进程。使用 Windows 身份验证的优点是它需要的编码最少。在将请求传递给 ASP.NET 之前,您可能需要使用 Windows 身份验证来模拟 IIS 进行验证的 Windows 用户帐户。   
 30  
 31
 32
 33####  Passport 身份验证 
 34
 35Passport 身份验证是 Microsoft 提供的集中式身份验证服务,它为成员站点提供单一登录和核心配置文件服务。通常,当您需要跨越多个域的单一登录功能时,将使用 Passport 身份验证。   
 36  
 37
 38
 39####  默认身份验证 
 40
 41当 Web 应用程序不需要任何安全功能时,将使用默认身份验证;此安全提供程序需要匿名访问。在所有的身份验证提供程序中,默认身份验证为应用程序提供了最高的性能。当您使用自己的自定义安全模块时,也可以使用此身份验证提供程序。   
 42  
 43
 44
 45###  授权 
 46
 47授权是指验证经身份验证的用户是否可以访问请求资源的过程。   
 48  
 49ASP.NET 提供以下授权提供程序:  •  |  FileAuthorization   
 50---|---  
 51•  |  UrlAuthorization   
 52  
 53####  FileAuthorization 
 54
 55**FileAuthorizationModule** 类进行文件授权,而且在使用 Windows 身份验证时处于活动状态。 **FileAuthorizationModule** 负责对 Windows 访问控制列表 (ACL) 进行检查,以确定用户是否应该拥有访问权限。 
 56
 57####  UrlAuthorization 
 58
 59**UrlAuthorizationModule** 类进行统一资源定位器 (URL) 授权,它基于 URI 命名空间来控制授权。URI 命名空间可能与 NTFS 权限使用的物理文件夹和文件路径存在很大的差异。   
 60  
 61**UrlAuthorizationModule** 实现肯定和否定的授权断言;即,可以使用该模块有选择性地允许或拒绝访问用户、角色(如 manager、tester 和 administrator)和谓词(如 GET 和 POST)的 URI 命名空间的任意部分。   
 62  
 63
 64
 65###  基于角色的安全性 
 66
 67ASP.NET 中基于角色的安全性类似于 Microsoft COM+ 和 Microsoft Transaction Server (MTS) 所使用的基于角色的安全性,不过它们之间也存在很大的差异。ASP.NET 中基于角色的安全性不仅限于 Windows 帐户和组。例如,如果启用 Windows 身份验证和模拟,用户的标识就是 Windows 标识 (User.Identity.Name = "Domain\username")。可以检查特定角色中成员的标识,并相应地限制其访问权限。例如:   
 68  
 69`
 70    
 71    
 72    		
 73
 74` ** Visual C# .NET 代码  ** `
 75    
 76    
 77    if ( User.IsInRole("BUILTIN\\Administrators"))
 78       Response.Write("You are an Admin");
 79    else if (User.IsInRole("BUILTIN\\Users"))
 80       Response.Write("You are a User");
 81    else
 82       Response.Write("Invalid user");
 83    				
 84
 85` 如果使用的是表单身份验证,则不会为经过身份验证的用户分配角色;您必须以编程方式执行此任务。若要为经过身份验证的用户分配角色,请使用身份验证模块(本例中为表单身份验证模块)的 **OnAuthenticate** 事件创建新的 **GenericPrincipal** 对象,并为其分配 HttpContext 的 **User** 属性。以下代码对此进行了说明:   
 86  
 87**** `
 88    
 89    
 90    				
 91
 92` ** Visual C# .NET 代码  ** `
 93    
 94    
 95    public void Application_AuthenticateRequest(Object s, EventArgs e)
 96    {
 97       if (HttpContext.Current.User != null)
 98       {
 99          if (HttpContext.Current.User.Identity.AuthenticationType == "Forms" )
100          {
101             System.Web.Security.FormsIdentity id = HttpContext.Current.User.Identity;
102             String[] myRoles = new String[3];
103             myRoles[0]= "managers";
104             myRoles[1]= "testers";
105             myRoles[2]= "developers";
106             HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(id,myRoles);
107          }
108       }
109    }
110    				
111
112` 若要检查用户是否属于特定的角色并相应地限制其访问权限,请在 .aspx 页中使用以下代码(或类似的代码):   
113  
114`
115    
116    
117    				
118
119` ** Visual C# .NET 代码  ** `
120    
121    
122    if (User.IsInRole("managers"))
123       Response.Write("You are a Manager");
124    else if (User.IsInRole("testers"))
125       Response.Write("You are a Tester");
126    else if (User.IsInRole("developers"))
127       Response.Write("You are a Developer");
128    
129
130`</machinekey></identity></authorization></authentication>
Published At
Categories with Web编程
Tagged with
comments powered by Disqus