2011年5月1日
摘要:
Membership类 以Membership类的静态方法为中心的成员管理编程接口封装了凭据和其他用户信息的获取、比较操作细节。 Membership类默认使用的提供程序将用户信息以预定义的格式存储在SQL Express数据库中。如果希望使用自定义的数据存储(如个人数据库),我们可以创建自定义的提供程序,并将其插入到应用程序中。Membership类的编程接口 下表列出了Membership类的属性: Provider属性返回当前使用的成员资格提供程序的引用,该提供程序是在配置文件中选定的。ASP.NET自带了两个预定义的提供程序,分别面向SQL Server Express和活动目录。我们 阅读全文
摘要:
使用Forms身份验证 实际的Internet应用程序很少采用Windows和Passport身份验证方式。 如果要实现采集用户凭据并在内部进行处理,Forms身份验证是最理想的选择。为建立支持Forms身份验证的ASP.NET应用程序,需要这样设置web.config文件:<system.web> <authentication mode="Forms"> <forms loginUrl="login.aspx" /> </authentication> <authenciation> < 阅读全文
摘要:
ASP.NET身份验证方法 基于被请求资源的类型,IIS可能会自己处理。如果该资源需要ASP.NET处理,IIS会将该请求连同已验证(或匿名)用户的安全令牌一起交给ASP.NET。 ASP.NET支持3种验证方法:Windows、Passport、Forms。还有一种选项是None,即ASP.NET本身不会试图执行身份验证,而完全依赖于IIS之前执行的身份验证。在这种情况下,匿名用户也能连接,并可通过ASP.NET默认帐户访问资源。 我们可通过应用程序的web.config文件根节点下的<authentication>区段来选择ASP.NET身份验证机制。子目录的身份验证模式继承于 阅读全文
摘要:
威胁来自何方 下表列出了最常见的几种Web攻击: 从根本上讲,不论用户向浏览器的标记中插入何种数据,都有可能遭受代码注入攻击(即,SQL注入和XSS的各种变体)。此外,敏感数据不应被传输,而必须安全地保存在服务器上。ASP.NET安全性上下文 从应用程序的角度来看,安全性主要是对用户进行身份验证,以及授予其对系统资源的操作权限。ASP.NET结合了IIS、.NET Framework和操作系统的底层安全服务,提供了身份验证和授权机制。ASP.NET应用程序整体的安全性上下文由以下3个级别构成: 1. IIS级将有效的安全令牌与请求的发送者关联(该安全令牌取决于当前IIS身份验证机制)。 2. 阅读全文