在網(wǎng)站中實(shí)現(xiàn)安全性有以下幾個(gè)方面:
- 認(rèn)證:這是確保用戶身份和真實(shí)性的過(guò)程��。ASP.NET允許四種類型的認(rèn)證:
- Windows身份驗(yàn)證
- 表單認(rèn)證
- 通行證認(rèn)證
- 自定義驗(yàn)證
- 授權(quán):是為特定用戶定義和分配特定角色的過(guò)程����。
- 保密性:它涉及加密客戶端瀏覽器和網(wǎng)絡(luò)服務(wù)器之間的通道�����。
- 完整性:涉及維護(hù)數(shù)據(jù)的完整性�����。例如���,實(shí)施數(shù)字簽名��。
基于表單的身份驗(yàn)證
傳統(tǒng)上�,基于表單的身份驗(yàn)證涉及編輯web.config文件并添加具有適當(dāng)?shù)尿?yàn)證代碼的登錄頁(yè)面�����。
可以編輯web.config文件并在其上編寫以下代碼:
<configuration>
<system.web>
<authentication mode="Forms">
<forms loginUrl ="login.aspx"/>
</authentication>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
...
...
</configuration>
在上面的代碼片段中提到的login.aspx頁(yè)面具有以下代碼文件����,其中用戶名(username)和密碼(password)是硬編碼的身份驗(yàn)證。
注意FormsAuthentication類負(fù)責(zé)認(rèn)證過(guò)程���。
Visual Studio允許通過(guò)Web站點(diǎn)管理工具無(wú)縫地輕松實(shí)現(xiàn)用戶創(chuàng)建���,身份驗(yàn)證和授權(quán),而無(wú)需編寫任何代碼���。這個(gè)工具允許創(chuàng)建用戶和角色�����。
除此之外��,ASP.NET還提供了現(xiàn)成的登錄控件集����,它具有控制執(zhí)行所有工作的控件。
實(shí)現(xiàn)基于表單的安全性
要設(shè)置基于表單的身份驗(yàn)證���,需要以下內(nèi)容:
- 支持認(rèn)證過(guò)程的用戶數(shù)據(jù)庫(kù)
- 使用數(shù)據(jù)庫(kù)的網(wǎng)站
- 用戶帳戶
- 角色
- 限制用戶和小組活動(dòng)
- 默認(rèn)頁(yè)面,顯示用戶的登錄狀態(tài)等信息��。
- 登錄頁(yè)面���,允許用戶登錄����,檢索密碼或更改密碼
IIS身份驗(yàn)證:SSL
安全套接字層或SSL是用于確保安全連接的協(xié)議���。 啟用SSL后�����,瀏覽器會(huì)加密發(fā)送到服務(wù)器的所有數(shù)據(jù)�����,并解密來(lái)自服務(wù)器的所有數(shù)據(jù)����。同時(shí),服務(wù)器加密和解密來(lái)自瀏覽器的所有數(shù)據(jù)��。
安全連接的URL從HTTPS而不是HTTP開(kāi)始��。瀏覽器使用安全連接顯示小鎖圖標(biāo)��。 當(dāng)瀏覽器使用SSL通過(guò)安全連接初次嘗試與服務(wù)器通信時(shí)�,服務(wù)器通過(guò)發(fā)送其數(shù)字證書來(lái)驗(yàn)證自身。
要使用SSL���,您需要從受信任的認(rèn)證中心(CA)購(gòu)買數(shù)字安全證書�,并將其安裝在Web服務(wù)器中�。 以下是一些值得信賴和知名的認(rèn)證機(jī)構(gòu):
- www.verisign.com
- www.geotrust.com
- www.thawte.com
SSL內(nèi)置于所有主流瀏覽器和服務(wù)器中。要啟用SSL�,需要安裝數(shù)字證書。 各種數(shù)字證書的強(qiáng)度取決于加密期間生成的密鑰的長(zhǎng)度��。 更多的長(zhǎng)度�����,更安全的是證書,因此連接�����。
| 編號(hào) |
強(qiáng)度 |
描述 |
| 1 |
40位 |
大多數(shù)瀏覽器支持��,但很容易中斷����。 |
| 2 |
56位 |
強(qiáng)于40位 |
| 3 |
128位 |
非常難破解,但所有的瀏覽器不支持它�。 |
