【C#.NET】保护你的ASP.NET应用程序(四)ASP.NET网站管理工具

15.7  ASP.NET网站管理工具

15.7.1  ASP.NET网站管理工具概述

在这之前,我们都是手动配置Web.config文件进行授权,通过安全控件进行成员资格管理,其实我们还可以使用网站管理工具来管理应用程序的所有安全设置,包括:

·      用户管理(成员资格管理)

·      角色管理

·      访问规则管理(授权)

你只需要在IDE的网站菜单中选择ASP.NET配置,IDE就会自动打开当前网站的ASP.NET网站管理工具,如图15-32所示。

所有有关安全的配置都在安全页中,如图15-33所示。

         

图15-32  启动ASP.NET配置                           图15-33  ASP.NET网站管理工具

注意:使用ASP.NET网站管理工具对网站进行安全配置可能会修改Web.config,因此在打开配置前请先关闭Web.config文件。

15.7.2  用户管理

用户管理功能仅对表单验证有效,如果当前的验证方式为默认的基于Windows的身份验证,则会看到如图15-34所示的提示。

文本框:  
图15-34  用户管理仅对表单验证有效

单击“选择身份验证类型”链接,然后选择“通过Internet”选项,如图15-35所示。

图15-35  选择身份验证方式

如图15-36所示,现在就可以看到用户管理的一些功能了。

单击“创建用户”链接可以创建用户账号,如图15-37所示。

单击“管理用户”链接可以对已有的一些用户进行管理操作:搜索、编辑、删除和配置角色,如图15-38所示。

         

图15-36  用户管理                                 图15-37  创建用户

图15-38  管理用户

由于现在还没有启用角色,因此暂时没有配置角色的功能。创建的这些用户都是保存在ASPNETDB数据库中的。

15.7.3  角色管理

如果没有启用角色管理,将会看到如图15-39所示的界面。

单击“启用角色”链接后界面的效果如图15-40所示。

           

图15-39  未启用角色管理             图15-40  已经启用角色管理

这个时候,Web.config的<system.web>节点下已经多了一项配置:

<roleManager enabled="true" />

单击“创建或管理角色”进行角色的创建、修改和删除,如图15-41所示。

图15-41  角色管理

在这里,我们新建了一个Manager的角色,但并没有把任何用户关联到这个角色,也没有对这个角色进行授权。现在我们使用用户管理功能创建一个名为SalesManager的用户,并在创建的时候直接把他关联到Manager这个角色,如图15-42所示。

图15-42  创建用户并关联角色

当然,对于已创建的用户,你也可以通过管理用户中的编辑角色功能进行角色关联,如图14-43所示。

图15-43  编辑角色

还有一种关联角色的方式就是在角色管理中进行关联,如图15-44所示。

图15-44  向角色添加用户

如果需要一次性把多个用户关联到某个角色,这种方式会方便很多。在这里,我们搜索所有用户名中有Manager字样的用户,把他们全部关联到Manager这个角色。创建的这些角色以及用户和角色之间的关联都是保存在ASPNETDB数据库内的。

15.7.4  访问规则管理

访问规则管理用于授权用户或者角色对于路径的访问权限,如图15-45所示。

文本框:  
图15-45  访问规则管理

为了演示,我们先在网站根目录下创建一个Reports文件夹,假设这个文件夹内存放的是报表文件,只允许经理访问。我们在这个文件夹内创建一个Default.aspx,页面上放置一个LoginName控件。

这里是报表页面,您好 <asp:LoginName ID="LoginName1" runat="server" />

然后单击“创建访问规则”链接,界面如图15-46所示。

图15-46  创建访问规则

在这里选中Reports文件夹,然后选择“角色”,选中先前创建的角色“Manager”,然后在权限部分选择“允许”。这样一种组合就表示允许Manager这个角色访问Reports文件夹。要达到我们的要求,除了允许经理访问文件夹之外,还需要禁止其他人(角色)访问文件夹。在单击“确定”按钮保存这个访问规则之后,再次单击“创建访问规则”链接来创建一个拒绝规则:指定所有用户对于Reports文件夹的访问权限为拒绝。

现在再单击“管理访问规则”链接,如图15-47所示,可以看到网站是各个文件夹的访问规则。

图15-47  管理访问规则

现在,让我们来测试一下这些安全配置。启动Reports目录下的Default.aspx,页面被自动重定向到了登录页面。你可以尝试使用以下用户登录:

·      test(不属于任何角色)。即使登录也不能访问到Reports目录下的Default.aspx。

·      SalesManager(属于Manager用户组):登录后可以访问到Reports目录下的Default.aspx,如图15-48所示。

图15-48  报表页面

其实,这些访问规则的配置都是保存在相应文件夹的Web.config文件中的,打开Reports文件夹中的Web.config文件可以看到如下的配置:

<?xml version="1.0" encoding="utf-8"?>

<configuration>

    <system.web>

        <authorization>

            <allow roles="Manager" />

            <deny users="*" />

        </authorization>

    </system.web>

</configuration>

15.7.5  其他配置

除了与安全相关的配置外,我们还可以通过网站管理工具来进行一些其他配置,图15-49和图15-50分别为SMTP服务器以及调试/跟踪的配置界面。

    

图15-49  配置SMTP服务器                              图15-50  配置调试和跟踪

posted on 2009-09-25 17:25    阅读(376)  评论(0编辑  收藏  举报