INFO:ASP.NET 安全性概述

文章翻译 文章翻译
文章编号: 306590 - 查看本文应用于的产品
本文的发布号曾为 CHS306590
本文引用下面的 Microsoft .NET Framework 类库命名空间:
  • System.Web.Security
  • System.Web.Principal
展开全部 | 关闭全部

本文内容

概要

本文提供对 ASP.NET 安全性的介绍。

有关其他 ASP.NET 概述,请参见 Microsoft 知识库中的以下文章:
305140 INFO:ASP.NET 指南

更多信息

ASP.NET 为您在实现应用程序的安全性时提供了更多的控制。ASP.NET 安全性与 Microsoft Internet 信息服务 (IIS) 安全性协同工作,包括身份验证和授权服务以实现 ASP.NET 安全模型。ASP.NET 还包括一个基于角色的安全功能,您可以为 Microsoft Windows 和非 Windows 用户帐户实现该功能。

本文分成以下几个部分:

请求的安全性事件流

以下步骤简要介绍了在客户端发出请求时发生的事件序列:
  1. 客户端请求 IIS 服务器上的一个 .aspx 页。
  2. 将客户端凭据传递给 IIS。
  3. IIS 对客户端进行身份验证,然后将经过身份验证的标记随客户端请求一起传送到 ASP.NET 工作进程。
  4. 根据 IIS 传送的经过身份验证的标记以及 Web 应用程序的配置设置,ASP.NET 决定是否在处理请求的线程上模拟用户。Microsoft Active Server Pages (ASP) 和 ASP.NET 的明显区别是,ASP.NET 在默认情况下不再模拟经过身份验证的用户。若要启用模拟,必须在 Web.config 文件中将 identity 部分中的 impersonate 属性设置为 true
有关安全性事件流的更多信息,请参阅 .NET Framework 软件开发工具包 (SDK) 文档中的以下主题:
ASP.NET 数据流
http://msdn2.microsoft.com/en-us/library/xa68twcb(vs.71).aspx
有关在 ASP.NET 中进行模拟的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306158 INFO:在 ASP.NET 应用程序中实现模拟

相关配置设置

IIS 在 IIS 配置数据库中保存与安全性有关的配置设置。但是,ASP.NET 在可扩展标记语言 (XML) 配置文件中保存安全(及其他)配置设置。虽然从安全性的角度来看,这通常可简化应用程序的部署,但应用程序采用的安全模型要求通过其配置文件 (Web.config) 来正确配置 IIS 配置数据库和 ASP.NET 应用程序。

以下配置部分与 ASP.NET 安全性有关:

身份验证

身份验证是指以下过程:获取标识凭据(如用户名和密码),并对照某一颁发机构来验证这些凭据。

ASP.NET 提供了四个身份验证提供程序:

表单身份验证

表单身份验证是指以下系统:将未经身份验证的请求重定向到一个超文本标记语言 (HTML) 表单,使用户能够在其中键入他们的凭据。在用户提供凭据并提交该表单后,应用程序对请求进行身份验证,然后系统以 Cookie 的形式发出身份验证票证。此 Cookie 包含凭据或用于重新获取标识的密钥。浏览器的后续请求自动包含此 Cookie。

有关窗体身份验证的更多信息,请参阅 .NET Framework SDK 文档中的以下主题:
窗体身份验证提供程序
http://msdn.microsoft.com/en-us/library/9wff0kyh(vs.71).aspx
有关 ASP.NET 中窗体身份验证的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
301240 如何使用 C# .NET 在 ASP.NET 应用程序中实现基于窗体的身份验证

Windows 身份验证

在 Windows 身份验证中,IIS 执行身份验证,并将经过身份验证的标记传递给 ASP.NET 工作进程。使用 Windows 身份验证的优点是它需要的编码最少。在将请求传递给 ASP.NET 之前,您可能需要使用 Windows 身份验证来模拟 IIS 进行验证的 Windows 用户帐户。

有关 Windows 身份验证的更多信息,请参阅 .NET Framework SDK 文档中的以下主题:
WindowsAuthenticationModule 提供程序
http://msdn.microsoft.com/en-us/library/907hb5w9(vs.71).aspx

Passport 身份验证

Passport 身份验证是 Microsoft 提供的集中式身份验证服务,它为成员站点提供单一登录和核心配置文件服务。通常,当您需要跨越多个域的单一登录功能时,将使用 Passport 身份验证。

有关 Passport 身份验证的更多信息,请参阅 .NET Framework SDK 文档中的以下主题:
Passport 身份验证提供程序
http://msdn.microsoft.com/en-us/library/f8e50t0f(vs.71).aspx

默认身份验证

当 Web 应用程序不需要任何安全功能时,将使用默认身份验证;此安全提供程序需要匿名访问。在所有的身份验证提供程序中,默认身份验证为应用程序提供了最高的性能。当您使用自己的自定义安全模块时,也可以使用此身份验证提供程序。

授权

授权是指验证经身份验证的用户是否可以访问请求资源的过程。

ASP.NET 提供以下授权提供程序:

FileAuthorization

FileAuthorizationModule 类进行文件授权,而且在使用 Windows 身份验证时处于活动状态。FileAuthorizationModule 负责对 Windows 访问控制列表 (ACL) 进行检查,以确定用户是否应该拥有访问权限。

UrlAuthorization

UrlAuthorizationModule 类进行统一资源定位器 (URL) 授权,它基于 URI 命名空间来控制授权。URI 命名空间可能与 NTFS 权限使用的物理文件夹和文件路径存在很大的差异。

UrlAuthorizationModule 实现肯定和否定的授权断言;即,可以使用该模块有选择性地允许或拒绝访问用户、角色(如 manager、tester 和 administrator)和谓词(如 GET 和 POST)的 URI 命名空间的任意部分。

有关 ASP.NET 中的授权的更多信息,请参阅 .NET Framework SDK 文档中的以下主题:
ASP.NET 授权
http://msdn.microsoft.com/en-us/library/wce3kxhd(vs.71).aspx

基于角色的安全性

ASP.NET 中基于角色的安全性类似于 Microsoft COM+ 和 Microsoft Transaction Server (MTS) 所使用的基于角色的安全性,不过它们之间也存在很大的差异。ASP.NET 中基于角色的安全性不仅限于 Windows 帐户和组。例如,如果启用 Windows 身份验证和模拟,用户的标识就是 Windows 标识 (User.Identity.Name = "Domain\username")。可以检查特定角色中成员的标识,并相应地限制其访问权限。例如:

Visual Basic .NET 代码
If User.IsInRole("BUILTIN\Administrators") Then
   Response.Write("You are an Admin")
Else If User.IsInRole("BUILTIN\Users") then
   Response.Write("You are a User")
Else
   Response.Write("Invalid user")
End if
				
Visual C# .NET 代码
if ( User.IsInRole("BUILTIN\\Administrators"))
   Response.Write("You are an Admin");
else if (User.IsInRole("BUILTIN\\Users"))
   Response.Write("You are a User");
else
   Response.Write("Invalid user");
				
如果使用的是表单身份验证,则不会为经过身份验证的用户分配角色;您必须以编程方式执行此任务。若要为经过身份验证的用户分配角色,请使用身份验证模块(本例中为表单身份验证模块)的 OnAuthenticate 事件创建新的 GenericPrincipal 对象,并为其分配 HttpContext 的 User 属性。以下代码对此进行了说明:

Visual Basic .NET 代码
Public Sub Application_AuthenticateRequest(s As Object, e As EventArgs)
   If (Not(HttpContext.Current.User Is Nothing)) Then
      If HttpContext.Current.User.Identity.AuthenticationType = "Forms" Then
         Dim id as System.Web.Security.FormsIdentity = HttpContext.Current.User.Identity
         Dim myRoles(3) As String
         myRoles(0)= "managers"
         myRoles(1)= "testers"
         myRoles(2)= "developers"
         HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(id,myRoles) 
      End If
   End If
End Sub
				
Visual C# .NET 代码
public void Application_AuthenticateRequest(Object s, EventArgs e)      
{
   if (HttpContext.Current.User != null)
   {
      if (HttpContext.Current.User.Identity.AuthenticationType == "Forms" ) 
      {
         System.Web.Security.FormsIdentity id = HttpContext.Current.User.Identity;
         String[] myRoles = new String[3];
         myRoles[0]= "managers";
         myRoles[1]= "testers";
         myRoles[2]= "developers";
         HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(id,myRoles);
      }
   }
} 
				
若要检查用户是否属于特定的角色并相应地限制其访问权限,请在 .aspx 页中使用以下代码(或类似的代码):

Visual Basic .NET 代码
If User.IsInRole("managers") Then
   Response.Write("You are a Manager")
Else If  User.IsInRole("testers") Then
   Response.Write("You are a Tester")
Else If User.IsInRole("developers") Then
   Response.Write("You are a Developer")
End if
				
Visual C# .NET 代码
if (User.IsInRole("managers"))
   Response.Write("You are a Manager");
else if (User.IsInRole("testers"))
   Response.Write("You are a Tester");
else if (User.IsInRole("developers"))
   Response.Write("You are a Developer");
				
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
306238 如何使用 Visual Basic .NET 在采用基于表单身份验证的 ASP.NET 应用程序中实现基于角色的安全性
有关基于角色的安全性的更多信息,请参阅 .NET Framework SDK 文档中的以下主题:
基于角色的安全性
http://msdn.microsoft.com/en-us/library/52kd59t0(vs.71).aspx

参考

有关 ASP.NET 安全指南的更多信息,请参见以下 MSDN 白皮书:
ASP.NET 中的身份验证:.NET 安全指南
http://msdn.microsoft.com/en-us/library/ms978378.aspx
有关 ASP.NET 的更多常规信息,请访问以下 MSDN 新闻组:
microsoft.public.dotnet.framework.aspnet
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
311094 BUG:模拟帐户读取配置时出现“ConfigurationException”错误信息
306359 PRB:Request.ServerVariables("LOGON_USER") 在 ASP.NET 中返回空字符串
313091 如何通过使用 Visual Basic .NET 创建密钥以供在窗体身份验证中使用
313116 PRB:表单身份验证请求未重定向到登录 URL 页
有关更多信息,请参阅下列图书:
Reilly, Douglas J.Designing Microsoft ASP.NET Applications. Microsoft Press, 2001.

Esposito,Dino。Building Web Solutions with ASP.NET and ADO.NET. Microsoft Press, 2001.

属性

文章编号: 306590 - 最后修改: 2012年6月28日 - 修订: 4.0
这篇文章中的信息适用于:
  • Microsoft ASP.NET 1.0
  • Microsoft ASP.NET 1.1
关键字:?
kbproductlink kbarttyperoadmap kbconfig kbinfo kbsecurity kbweb KB306590
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com