Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Thông báo: Giúp an toàn của các hình thức xác thực bằng cách sử dụng Secure Sockets Layer (SSL)

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:813829
Bài viết này đề cập đến các Theo Microsoft.Không gian tên thư viện lớp của NET Framework:
  • System.web.Security
TÓM TẮT
Theo mặc định, cookie có chứa các hình thức xác thực vé không được bảo đảm khi bạn sử dụng các hình thức xác thực trong một Microsoft ASP.NET Web ứng dụng. Bài viết này mô tả cách giúp an toàn các hình thức xác thực bằng cách sử dụng Secure Sockets Layer (SSL). Bài viết này cũng mô tả tùy chọn bổ sung thực hiện và những cách khác để giúp an toàn các hình thức xác thực.
THÔNG TIN THÊM
Dựa trên các hình thức xác thực là một ASP.NET xác thực dịch vụ cho phép các ứng dụng để cung cấp giao diện đăng nhập riêng của họ và để thực hiện xác minh khả năng tùy chỉnh. Với hình thức xác thực, ASP.NET authenticates người dùng và sau đó chuyển hướng unauthenticated người dùng để đăng nhập Trang được chỉ định bởi các loginUrl thuộc tính của các <forms></forms> phần tử trong Web.config file. Khi bạn cung cấp thông tin đăng nhập thông qua hình thức đăng nhập, các ứng dụng authenticates theo yêu cầu, và sau đó các hệ thống các vấn đề một FormsAuthenticationTicket lớp học dưới hình thức một cookie. Các FormsAuthenticationTicket lớp học được thông qua như là một cookie để đáp ứng với tiếp theo Web yêu cầu từ khách hàng xác thực.

Mặc dù các hình thức xác thực cung cấp một phương tiện linh hoạt xác thực, bạn phải cẩn thận xem xét một số các vấn đề quan trọng khi bạn giúp an toàn diện ASP.NET ứng dụng. Bạn phải giúp đỡ bảo vệ ủy nhiệm đăng nhập ban đầu bằng cách sử dụng SSL vì ủy nhiệm gửi tới hệ phục vụ làm rõ. Bạn cũng phải chắc chắn rằng bạn bảo vệ cookie chứa các hình thức xác thực vé. Để thực hiện việc này, sử dụng SSL trên tất cả các trang để giúp bảo vệ vé. Ngoài ra, bạn có thể mật mã hóa các các hình thức xác thực vé bằng cách thiết lập các bảo vệ thuộc tính của các <forms></forms> yếu tố để Tất cả các hoặc đến Mật mã hóa trong Web.config tệp và sử dụng các Mật mã hóa phương pháp của các FormsAuthentication lớp học để mã hóa vé. Để biết thêm thông tin về các Mật mã hóa phương pháp của các FormsAuthentication lớp, nhìn thấy những "Sử dụng các mã hoá Phương pháp lớp FormsAuthentication"phần của bài viết này.

Những thuận lợi của các hình thức xác thực

  • Các hình thức xác thực hỗ trợ xác thực chống lại một lưu trữ dữ liệu tùy chỉnh, như Microsoft SQL Server cơ sở dữ liệu hoặc Active Directory dịch vụ thư mục. Để biết thêm chi tiết, xem các "TÀI LIỆU THAM KHẢO"phần của bài viết này.
  • Hỗ trợ các hình thức xác thực dựa trên vai trò uỷ quyền với vai trò tra cứu từ một cửa hàng dữ liệu.
  • Các hình thức xác thực được tích hợp thuận lợi với các trang Web giao diện người dùng. Để biết thêm chi tiết, xem các "TÀI LIỆU THAM KHẢO"phần của bài viết này.
  • ASP.NET cung cấp nhiều cơ sở hạ tầng. Tương đối ít mã được yêu cầu so với các phiên bản Microsoft Active Server Pages 3.0 và trước đó.
  • ASP.NET hình thức xác thực không yêu cầu Microsoft Internet Explorer. Các hình thức xác thực hỗ trợ một phạm vi rộng của trình duyệt khách hàng.

Làm thế nào để xác thực các hình thức trợ giúp Make an toàn

  • Sử dụng SSL cho tất cả các trang.
  • Sử dụng các Mật mã hóa phương pháp của các FormsAuthentication lớp học.

Sử dụng SSL cho tất cả các trang

Giúp đảm đến cookie xác thực vẫn an toàn trong suốt một phiên trình duyệt khách hàng bằng cách sử dụng mã hóa SSL để giúp an toàn an toàn truy cập vào tất cả các trang. Bằng cách sử dụng mã hóa SSL trên ứng dụng, bạn giúp ngăn chặn bất cứ ai từ ảnh hưởng đến cookie xác thực và từ truyền thông tin có giá trị khác.

Thiết lập giá trị của các requireSSL bất động sản để sự thật trong tập tin Web.config. Điều này đặt SSL tại chỗ khi cookie là gửi lại cho trình duyệt. Nếu bạn không đặt giá trị của requireSSL để sự thật, các hình thức ném ngoại lệ hoặc không xác thực với các cookie.

Khi requireSSL được thiết lập để sự thật, các kết nối được mã hóa giúp bảo vệ các chứng chỉ của các người sử dụng, và ASP.NET bộ các HttpCookie.Secure bất động sản cho cookie xác thực. Các trình duyệt tương thích không trở về cookie trừ khi sử dụng kết nối SSL. Sau đây Ví dụ cho thấy làm thế nào để làm điều này trong tập tin Web.config cho ứng dụng của bạn:
 <configuration> <system.web>   <authentication mode="Forms">     <forms name=".ASPXAUTH"       loginUrl="login.aspx"        protection="All"       timeout="20"       requireSSL="true">     </forms>   </authentication >    <authorization>     <deny users="?" />   </authorization> </system.web></configuration>
Ví dụ sau sẽ hành động nếu cookie được thiết lập để truyền tải một cách an toàn:

Visual C#.NET Code
 string cookieName = FormsAuthentication.FormsCookieName.ToString();  HttpCookie MyCookie = Context.Request.Cookies[cookieName]; if (MyCookie.Secure) {      Response.Write("The cookie is secure with SSL.");      // Add other required code here. } 

Visual Basic.NET Code
   Dim cookieName As String = FormsAuthentication.FormsCookieName.ToString   Dim MyCookie As HttpCookie = Context.Request.Cookies(cookieName)   If MyCookie.Secure Then      Response.Write("The cookie is secure with SSL.")      ' Add other required code here.   End If

Sử dụng các mã hóa phương pháp của FormsAuthentication Lớp học

Nếu bạn chỉ sử dụng SSL trên trang Web đăng nhập ban đầu để mã hóa các Ủy nhiệm được truyền cho xác thực, hãy đảm bảo rằng các hình thức xác thực vé được chứa trong một cookie bảo vệ. Các hình thức xác thực vé phải được bảo vệ bởi vì cookie thông qua giữa máy khách và máy chủ trên mỗi yêu cầu Web tiếp theo. Mật mã hóa các hình thức xác thực vé, cấu hình các bảo vệ thuộc tính của các <forms></forms> nguyên tố, và sử dụng các Mật mã hóa phương pháp của các FormsAuthentication lớp học để mã hóa vé.
<authentication mode="Forms">  <forms name="MyAppFormsAuth"       loginUrl="login.aspx"       protection="All"       timeout="20"        path="/" >  </forms></authentication> 
Bởi vì các bảo vệ thuộc tính được đặt thành Tất cả các, khi các ứng dụng gọi các FormsAuthentication.Encrypt phương pháp, vé phải được xác nhận và mật mã hóa.

Gọi cho các Mật mã hóa phương pháp khi bạn tạo các hình thức xác thực vé. Bạn thường tạo ra vé trong các Đăng nhập xử lý sự kiện của các ứng dụng.

Visual C#.NET Code
string encryptedTicket = FormsAuthentication.Encrypt(authTicket);
Visual Basic.NET Code
Dim encryptedTicket As String = FormsAuthentication.Encrypt(authTicket)
THAM KHẢO
Để biết thông tin về ASP.NET và các hình thức xác thực, truy cập vào trang Web Microsoft sau đây:
Xác thực trong ASP.NET:.An ninh mạng Hướng dẫn
http://msdn2.Microsoft.com/en-US/Library/ms978378.aspx
Các hình thức xác thực nhà cung cấp
http://msdn2.Microsoft.com/en-US/Library/9wff0kyh (vs.71) .aspx
Để thêm thông tin về việc sử dụng SSL để bảo đảm các hình thức xác thực, bấm vào bài viết sau đây các con số để xem các bài viết trong cơ sở kiến thức Microsoft:
306590THÔNG TIN: ASP.Tổng quan về an ninh mạng
315588 CÁCH THỨC: An toàn diện ASP.NET ứng dụng bằng cách sử dụng giấy chứng nhận phía khách hàng
313116 PRB: các hình thức Yêu cầu xác thực không được dẫn đến loginUrl trang
324069 Làm thế nào để: Thiết lập một dịch vụ HTTPS trong IIS
326340 AD - làm thế nào để: xác thực đối với thư mục đang hoạt động bằng cách sử dụng các hình thức xác thực và Visual Basic.NET
301240 SQL - LÀM THẾ NÀO ĐỂ: Thực hiện dựa trên các hình thức xác thực trong ASP của bạn.NET Application bằng cách sử dụng C# .NET
308157 SQL - làm thế nào để: thực hiện dựa trên các hình thức xác thực trong ASP của bạn.NET Application bằng cách sử dụng Visual Basic.NET
311495 CÁCH THỨC: Thực hiện dựa trên vai trò an ninh với dựa trên các hình thức xác thực trong ASP của bạn.NET Ứng dụng bằng cách sử dụng Visual C#.NET
306238 Làm thế nào để: Thực hiện dựa trên vai trò an ninh với dựa trên các hình thức xác thực trong ASP của bạn.NET Application bằng cách sử dụng Visual Basic.NET
312906 CÁCH THỨC: Tạo ra phím bằng cách sử dụng Visual C#.NET để sử dụng trong các hình thức xác thực
313091 CÁCH THỨC: Tạo ra phím bằng cách sử dụng Visual Basic.NET để sử dụng trong các hình thức Xác thực

Warning: This article has been translated automatically

Thuộc tính

ID Bài viết: 813829 - Xem lại Lần cuối: 08/28/2011 06:00:00 - Bản sửa đổi: 2.0

Microsoft ASP.NET 1.1

  • kbcookie kbwebforms kbauthentication kbsecurity kbconfig kbinfo kbmt KB813829 KbMtvi
Phản hồi
ttp://c1.microsoft.com/c.gif?">