Zarządzanie zabezpieczeń aplikacji ASP.Net
Często witryna zawiera strony, które nie powinny być dostępne do przeglądania przez każdego, ale tylko z niektórych typów użytkowników. Mówi się o uwierzytelnianie użytkowników w odniesieniu do praktyki stosowane w celu zapewnienia, że użytkownicy są rzeczywiście tymi, którzy twierdzą, że i ta praktyka opiera się na wspólnych informacji (np. hasło). Mówi zamiast zezwolenia użytkowników w odniesieniu do praktyki lub odmówić na podstawie zezwolenia i / lub ról przypisanych im zgody na dostęp do pewnych stron do użytkowników, którzy są uwierzytelniane.
Oprogramowania zabezpieczającego jest to temat niezwykle istotne w ostatnich latach. Gdy aplikacja internetowa działa w środowisku Microsoft musi rozważyć kilka podstawowych aspektów: kontekst bezpieczeństwa (kontekście zabezpieczeń) IIS, jak do uwierzytelniania użytkowników i ich uprawnieniami.
Zarządzanie bezpieczeństwem w sieci jest czynnością bardzo podobne do typowych zarządzania bezpieczeństwem sieci, gdzie trzeba polegać na uwierzytelniania i autoryzacji użytkowników. Jednakże, bezpieczeństwo w sieci Web do zarządzania klientów korzystających z różnych platform, więc masz mniej kontroli niż zamkniętej sieci (np. sieci Windows w biurze). W rzeczywistości, zamkniętym administratorzy sieci mogą z łatwością monitorować cały system, udostępniania lub odmowy dostępu do użytkowników różnych dostępnych zasobów. Użytkownicy aplikacji internetowej, ale o wiele więcej i dlatego potrzebują innego podejścia (zewnętrznej infrastruktury Windows) do uwierzytelniania i autoryzacji siebie.
Pierwsza kwestia bezpieczeństwa, która zostanie znaleziona przez rozwijanie aplikacji internetowych w środowisku Windows jest zrozumienie kontekstu zabezpieczeń IIS. Praktycznie wszystkie przepustkę do strony internetowej za pośrednictwem serwera IIS, i tak jak wszystkie aplikacje Windows, IIS działa w określonym kontekście. Jeśli usługi IIS są zainstalowane na komputerze, proces instalacji tworzy tożsamość bezpieczeństwo (bezpieczeństwo tożsamości) rozdzielić.
I "możliwe do identyfikacji tożsamości, w których nasza wersja IIS działa rozpocząć, wybierz katalog wirtualny, dostęp do okna właściwości i klikając na zdalny dostęp i kontrola uwierzytelniania. W tym momencie otwiera się okno
jak widać na moim komputerze tożsamości jest IUSR.
Domyślnie IIS obsługuje katalogów wirtualnych za pomocą uwierzytelniania anonimowego. Gdy ten tryb jest określany przy użyciu użytkownika usług IIS, które już widzieliśmy i udostępnia zasoby, które dostępne. IIS obsługuje również inne rodzaje uwierzytelniania, w tym uwierzytelniania systemu Windows. W tym ostatnim przypadku, dostarczyć wszystkich potencjalnych użytkowników systemu Windows nazwę użytkownika i hasło. Jednak ten typ uwierzytelniania działa dobrze z użytkowników systemu Windows, ale dla użytkowników, którzy korzystają z innych systemów operacyjnych należy użyć innego typu uwierzytelniania, ponieważ mechanizm bezpieczeństwa dostępne dla użytkowników systemu Windows nie jest dostępna dla innych systemów, a tym samym użytkowników nie może uwierzytelnić.
Na szczęście, ASP.NET zawiera tzw uwierzytelniania formularzy, proste, ale skuteczne narzędzie, wprowadzone w verisone 1.0. Jest to zestaw z pliku web.config w aplikacji internetowej, że oprócz elementów już, zawiera również węzły uwierzytelniania i autoryzacji. W przypadku braku takich węzłów ASP.NET pozwala na nieograniczony dostęp do strony internetowej. Jednakże, jeśli te elementy są obecne użytkownicy są przekierowywani na stronę poświęconą uwierzytelniania (zwykle stronę logowania, gdzie użytkownik musi wprowadzić nazwę użytkownika i hasło).
Oto web.config próbki z tych węzłów
widać, że to było ustawione jako metodę uwierzytelniania i jako strona formularza, w którym użytkownicy są przekierowywani na stronę Login.aspx.
ASP.NET zawiera wielkie wsparcie dla uwierzytelniania użytkownika. Kluczowym elementem w tym kontekście jest klasa FormsAuthentication, które udostępnia szereg różnych funkcji, począwszy od szyfrowania haseł, tworzenie plików cookie uwierzytelniania, poprzez szereg innych aspektów
W celu zbadania kwestii bezpieczeństwa w ASP.NET Zapraszam do odwoływania się do artykułu mojego autorstwa i przedstawiać tej stronie .
- Wprowadzenie do ASP.NET i Visual Studio
- Rozwój aplikacji internetowych
- . NET Framework
- Protokołu HTTP (w środowisku. NET)
- Internet Information Services (IIS)
- Pierwsze kroki z ASP.NET
- Zaczynamy pracę z Visual Studio
- Wykorzystania i zarządzania ogólnej kontroli
- Wykorzystania i zarządzania kryteria weryfikacji
- Wykorzystania i zarządzania graficzny kontroli
- Interfejs użytkownika i strony wzorcowe
- Tematy i skórki
- Pliki konfiguracyjne: machine.config i web.config
- Zarządzanie zabezpieczeń aplikacji ASP.Net
- Zarządzanie użytkownikami
- Wykorzystania i zarządzania kontroli login
- Wiązania danych
- Zarządzanie połączeniami z bazami danych z ADO.NET
- Kontroli zarządzania danymi
- Zapytania danych z LINQ
- Zarządzanie stanu sesji
- Buforowanie danych
- Diagnostyka i debugowania błędów
- Wprowadzenie do AJAX
- Korzystanie z AJAX
- Wdrażanie aplikacji ASP.NET
 |
ASP (Advanced)
Pełny kurs tworzenia dynamicznych stron internetowych. Od 39 €. |
 |
ASP.NET (Kurs)
Pełny kurs do tworzenia aplikacji WWW od 49 €. |
 |
SQL i bazy danych (pole)
Tworzenie i zarządzanie relacyjnymi bazami danych. Od 39 €. |