务平台技术设计与应用NET第八章课件.ppt

ASP.NET 应用程序服务 ASP.NET 4中包含了大量应用程序服务，他们可以在Web应用程序中支持用户、角色和配置文件等的管理的一组服务，其中最重要的几个是： 成员（Membership）：管理和使用系统中的 用户账户 角色（Role）：管理用户被指派的角色 配置文件（Profile）：允许将用户特定的数据 存储到后台数据库 ASP.NET验证的实现 ASP.NET验证是通过验证提供程序（Authentication Provider）来实现的。此提供程序通过Web.config配置文件使用authentication进行控制。其基本的语法如下： configuration system.web authentication mode=Windows/Forms/Passport / /system.web /configuration ASP.NET的验证模式 ASP.NET提供了3种验证用户的模式，每一种验证方法都是通过一个独立的验证提供程序来实现的： Windows验证通过IIS实现 Forms验证是在开发人员自己的服务器上实 现的 Passports验证通过Microsoft公司的订阅服 务实现的 使用基本身份验证的操作步骤① 使用基本身份验证的操作步骤② 使用基本身份验证的操作步骤③ 使用基本身份验证的操作步骤④ 使用基本身份验证的操作步骤⑤ 使用基本身份验证的操作步骤⑥ 1. 安全处理流程 客户端向站点请求被保护的页面。 服务器接受请求，如果请求没有包含有效的验证Cookie，Web服务器把用户重定向到在Web.config中authentication元素的loginURL属性指定的URL，该URL包含一个供用户登录的页面。 安全处理流程（续） 用户在登录页面中输入用户证件资料，并且提交给窗体。若证件有效，则ASP.NET将在客户端创建一个验证Cookie。验证Cookie被设置后，以后的请求都将自动验证，知道用户关闭浏览器为止，也可将Cookie设置为永不过期，这样用户总能通过验证。 通过验证后，便检查用户是否有访问所请求资源的权利，若允许访问，则将该用户重新定向至所请求的网页。 例子8.1 在代码中直接验证 通过开发人员把正确的用户证件资料直接写入代码中，然后与用户输入的证件资料进行对比，判断用户输入资料是否正确。参见视频文件“02 Forms验证”（530s）。 使用IIS浏览网站的操作步骤① 例子8.2 使用IIS浏览网站 通过微软的IIS浏览ASP.NET网站的具体步骤参见视频文件“01 使用IIS浏览ASP.NET网站”（80s）。 FormsAuthentication类常用方法及说明 名 称 说 明 Authenticate 对照存储在应用程序配置文件中的凭据来验证用户名和密码 GetAuthCookie 为给定的用户名创建身份验证Cookie GetRedirectUrl 返回重定向到登录页的原始请求的URL HashPasswordForStoringInConfigFile 根据指定的密码和哈希算法生成一个适合于存储在配置文件中的哈希密码 RedirectFromLoginPage 将经过身份验证的用户重定向回最初请求的URL或默认URL SetAuthCookie 为提供的用户名创建一个身份验证票证，并将其添加到响应的Cookie集合或 URL SignOut 从浏览器删除Forms身份验证票证 Passport验证是微软公司提供的一种集中式验证服务，它的工作原理与窗体验证类似，都是在客户端创建验证Cookie，用于授权。使用Passport验证时，用户将被重定向至Passport登录网页，该页面提供了一个非常简单的窗体让用户填写验证资料，该窗体将通过微软公司的Passport服务来检查用户的证件，以确定用户的身份是否有效。 说明：使用Passport验证服务必须下载Passport软件开发的工具包SDK，并相应地配置应用程序，而且必须是微软的Passport服务的成员才能使用该服务。 （3）Passport验证 8.3 授 权 ASP.NET Web应用程序的安全性主要依赖验证和授权（Authorization）两项功能。正如前面所介绍的，验证指的是根据用户的验证信息识别其身份，而授权旨在确定通过验证的用户可以访问哪些资源。ASP.NET提供了两种授权方式：文件授权（File Authorization）和URL授权。 两种授权方式 文件授权由FileAuthorizationModule类（验证远程用户是否具有访问所请求的文件的权限）执行。它通过检查.as