权限管理越来越复杂
在一些网站应用中,有时会涉及到一些资源的网页管理问题。例如,通过网页的方式管理一些网站服务器端的资源,如图片等。图片等资源文件是放在网站的某个目录下面的,如果有些资源不是通过网页方式提交,或者可能是以前的一些数据资源等,通过COPY或者其它的方式将他们放到新的网站上。这时候往往会遇到的问题是:通过网页方式不一定那么自如的修改这些原有的数据资源。道理也简单,因为copy用到的权限是Windows下面的,而网页操作则用到的是IIS或者是ASP.NET的对应权限。简单的解决办法,将资源目录的权限赋给ASP.NET对应的帐号就可以了。我试过赋给IIS却不行的,看来ASP.NET的上传文件操作用的是自己对应的帐号。
随着系统的层次增多,权限控制问题是越来越复杂。每个应用服务器有自己影射在系统上的权限,有些又可以和Windows集成认证,有些应用又支持多种方式的认证(authentication),例如ASP.NET支持Forms,Passport和Windows集成的三种(还有None)方式来认证,下来则又涉及到了授权(authorization)的问题。应用层层次越多,这些安全的问题就越复杂啊。但只要头脑清醒,基本概念清晰,估计也没有太大的问题。
Authentication和Authorization在每个Web应用的Config文件中也可以设置。其实解决一个权限的复杂问题应该有多种途径,安全和省心则是首选。
另外,在资源修改管理中还遇到一个问题,就是资源上传更新后,如果不Refresh的话,在IE中还保持着旧的资源,如果将IE的Cache功能去掉应该可以解决,我想这个不是好的办法,是否有更好的方法?
记得以前HTML的头部分可以声明的,如下面:
<META HTTP-EQUIV="PRAGMA" CONTENT="NO-CACHE">
<META Http-Equiv="Cache-Control" Content="no-cache">
但在IE6下起不到效果了......