Správa zabezpečení aplikace ASP.Net

Často webové stránky obsahují stránky, které by neměly být k dispozici k prohlížení každý, ale jen z určitých typů uživatelů. Hovoří se o ověření uživatele s ohledem na praxi používají k zajištění, že uživatelé jsou vlastně ti, kteří tvrdí, že jsou, a tato praxe je založena na sdílených informací (například heslo). Mluví místo, kterým uživatelů ve vztahu k praxi povolit nebo zakázat na základě povolení a / nebo role, které jim o povolení k přístupu na některé stránky na konkrétní uživatele, kteří jsou ověřeny.

Bezpečnostního softwaru je téma velký význam v posledních letech. Když webové aplikace běží v prostředí Microsoft musí vzít v úvahu některé základní aspekty: bezpečnostní kontext (kontext zabezpečení) IIS, jak se ověřování uživatelů a jejich oprávnění.

Správa bezpečnosti na internetu je činnost velmi podobná typické řízení bezpečnosti sítě, kde musíte spoléhat na autentizaci a autorizaci uživatelů. Nicméně, bezpečnost na internetu umožňuje správu klientů pomocí různých platforem, takže mají menší kontrolu než uzavřené sítě (jako je například síť Windows v kanceláři). Ve skutečnosti, uzavřené správci sítě lépe monitorovat celý systém, poskytnutím nebo odmítnutím přístupu k uživatelům z různých zdrojů. Uživatelé webové aplikace, ale jsou mnohem početnější a proto potřebují jiný přístup (externí infrastruktury Windows) ověřovat a autorizovat se.

První bezpečnostní problém, který se setkal s tím, vývoj webových aplikací v prostředí Windows je pochopit v kontextu zabezpečení služby IIS. Prakticky všechny přístup přejít na webové stránky pomocí služby IIS, a stejně jako všechny aplikace Windows, je služba spuštěna v určitém kontextu. Je-li služba IIS nainstalována v počítači, instalační proces vytváří bezpečnostní identity (bezpečnostní identity), oddělte.

A "lze určit totožnost, pod kterým naše verze IIS běží začalo, vyberte virtuální adresář, přístup okno Vlastnosti a klepnutím na vzdálený přístup a ověřování. V tomto bodě se otevře následující okno

Jak můžete vidět na mém počítači je IUSR identity.

Ve výchozím nastavení IIS zpracovává virtuální adresáře pomocí anonymního ověřování. Když je tento režim určen pomocí uživatelského IIS, které jsme právě viděli, a dává k dispozici prostředky, dostupné. Služba IIS podporuje i další typy ověřování, včetně ověřování systému Windows. V takovém případě poskytuje všem potenciálním uživatelům Windows uživatelské jméno a heslo. Nicméně, tento typ autentizace funguje s uživateli Windows, ale pro uživatele, kteří používají jiné operační systémy je nutné použít jiný typ ověřování, protože mechanismus zabezpečení k dispozici pro uživatele systému Windows není k dispozici pro jiné systémy, a proto uživatelé nemohli ověřit.

Naštěstí ASP.NET obsahuje tzv. ověřování formulářů, jednoduchý, ale účinný nástroj představen v verisone 1.0. To se nastavuje v souboru web.config pro webovou aplikaci, která kromě prvků už viděl, to také obsahuje uzly autentizace a autorizace. V případě neexistence takové uzly ASP.NET umožňuje neomezený přístup k webu. Nicméně, pokud tyto prvky jsou přítomny budete přesměrováni na stránky věnované ověřování (typicky přihlašovací stránku, na které musí uživatelé zadat uživatelské jméno a heslo).

Zde je ukázka web.config s těmito uzly

Můžete vidět, že to byla jako metoda ověřování a jako forma stránku, na které jsou uživatelé přesměrováni na stránku Login.aspx.

ASP.NET obsahuje velkou podporu pro autentizaci uživatelů. Klíčovým prvkem je v této souvislosti FormsAuthentication třídy, která nabízí celou řadu různých funkcí od šifrování hesel, vytváření ověřování cookies, prostřednictvím různých dalších aspektů

Prověřit otázku bezpečnosti v ASP.NET Zvu vás odkázat na článek jsem napsal já, a předložit tuto stránku .

• <<Předchozí lekce
• Nápověda Index
• Další lekce>>