ASP.NET - 安全性

在站点中实现安全性有以下几个方面：

• 身份验证：这是确保用户身份和真实性的过程。 ASP.NET 允许四种类型的身份验证：

  • Windows 身份验证
  • 表单身份验证
  • IIS 身份验证
  • 自定义身份验证

• 授权：这是定义特定角色并将其分配给特定用户的过程。

• 保密性：它涉及加密客户端浏览器和网络服务器之间的通道。

• 完整性：它涉及维护数据的完整性。 例如，实现数字签名。

基于表单的身份验证

传统上，基于表单的身份验证涉及编辑 web.config 文件并添加带有适当身份验证代码的登录页面。

可以编辑web.config文件，在上面写入以下代码:

<configuration>

<system.web>
   <authentication mode="Forms">
      <forms loginUrl ="login.aspx"/>
   </authentication>
   
   <authorization>
      <deny users="?"/>
   </authorization>
</system.web>
...
...
</configuration>

上面代码片段中提到的login.aspx页面可能有以下代码隐藏文件，其中硬编码了用于身份验证的用户名和密码。

protected bool authenticate(String uname, String pass)
{
   if(uname == "Tom")
   {
      if(pass == "tom123")
         return true;
   }
   
   if(uname == "Dick")
   {
      if(pass == "dick123")
         return true;
   }
   
   if(uname == "Harry")
   {
      if(pass == "har123")
         return true;
   }
   
   return false;
}

public void OnLogin(Object src, EventArgs e)
{
   if (authenticate(txtuser.Text, txtpwd.Text))
   {
      FormsAuthentication.RedirectFromLoginPage(txtuser.Text, chkrem.Checked);
   }
   else
   {
      Response.Write("Invalid user name or password");
   }
}

请注意，FormsAuthentication 类负责身份验证过程。

但是，Visual Studio 允许您通过网站管理工具无缝轻松地实现用户创建、身份验证和授权，而无需编写任何代码。 该工具允许创建用户和角色。

除此之外，ASP.NET 还附带现成的登录控件集，其中包含为您执行所有作业的控件。

实施基于表单的安全性

要设置基于表单的身份验证，您需要以下内容：

• 支持身份验证过程的用户数据库
• 使用数据库的网站
• 用户帐户
• 角色
• 限制用户和群组活动
• 默认页面，显示用户的登录状态和其他信息。
• 登录页面，允许用户登录、检索密码或更改密码

要创建用户，请执行以下步骤：

步骤(1) : 选择网站 -> ASP.NET 配置以打开 Web 应用程序管理工具。

步骤(2)：单击"安全"选项卡。

步骤(3)：通过选择"来自 Internet"单选按钮，将身份验证类型选择为"基于表单的身份验证"。

步骤(4)：点击"创建用户"链接创建一些用户。 如果您已经创建了角色，则可以在此阶段将角色分配给用户。

步骤(5)：创建网站并添加以下页面:

• Welcome.aspx
• Login.aspx
• CreateAccount.aspx
• PasswordRecovery.aspx
• ChangePassword.aspx

步骤(6) : 将 LoginStatus 控件放置在工具箱登录部分的 Welcome.aspx 上。 它有两个模板：LoggedIn 和 LoggedOut。

在 LoggedOut 模板中，有一个登录链接，在 LoggedIn 模板中，控件上有一个注销链接。 您可以从"属性"窗口更改控件的登录和注销文本属性。

步骤(7)：将工具箱中的 LoginView 控件放置在 LoginStatus 控件下方。 在这里，您可以放置文本和其他控件（超链接、按钮等），这些控件根据用户是否登录而显示。

该控件有两个视图模板：匿名模板和登录模板。 选择每个视图并为每个模板编写一些要显示的用户文本。 文本应放置在标记为红色的区域。

步骤(8)：应用程序的用户由开发人员创建。 您可能希望允许访问者创建用户帐户。 为此，请在 LoginView 控件下方添加一个链接，该链接应链接到 CreateAccount.aspx 页面。

步骤(9)：在创建帐户页面放置一个CreateUserWizard控件。 将此控件的ContinueDestinationPageUrl 属性设置为Welcome.aspx。

步骤(10)：创建登录页面。 在页面上放置一个登录控件。 LoginStatus 控件自动链接到Login.aspx。 要更改此默认值，请在 web.config 文件中进行以下更改。

例如，如果您要将登录页面命名为signup.aspx，请将以下行添加到 web.config 的 <authentication> 部分：

<configuration>
   <system.web>
      <authentication mode="Forms">
         <forms loginUrl ="signup.aspx" defaultUrl = “Welcome.aspx” />
      </authentication>
   </system.web>
</configuration>

步骤(11) : 用户经常忘记密码。 PasswordRecovery 控件可帮助用户获得帐户的访问权限。 选择登录控件。 打开其智能标记并单击"转换为模板"。

自定义控件的 UI，在登录按钮下放置一个超链接控件，该控件应链接到 PassWordRecovery.aspx。

步骤(12)：在密码恢复页面放置一个PasswordRecovery控件。 该控件需要一个电子邮件服务器来将密码发送给用户。

步骤 (13)：在 Welcome.aspx 的 LoginView 控件的 LoggedIn 模板中创建指向 ChangePassword.aspx 页面的链接。

步骤(14)：在更改密码页面放置一个ChangePassword控件。 该控件也有两个视图。

现在运行应用程序并观察不同的安全操作。

要创建角色，请返回 Web 应用程序管理工具并单击"安全"选项卡。 单击"创建角色"并为应用程序创建一些角色。

点击"管理用户"链接并向用户分配角色。

IIS 身份验证：SSL

安全套接字层或 SSL 是用于确保安全连接的协议。 启用 SSL 后，浏览器会对发送到服务器的所有数据进行加密，并对来自服务器的所有数据进行解密。 同时，服务器对进出浏览器的所有数据进行加密和解密。

安全连接的 URL 以 HTTPS 而不是 HTTP 开头。 使用安全连接的浏览器会显示一个小锁。 当浏览器首次尝试通过使用 SSL 的安全连接与服务器进行通信时，服务器会通过发送其数字证书来验证自身身份。

要使用 SSL，您需要从受信任的证书颁发机构 (CA) 购买数字安全证书并将其安装在 Web 服务器中。 以下是一些值得信赖且享有盛誉的认证机构:

• www.verisign.com
• www.geotrust.com
• www.thawte.com

SSL 内置于所有主要浏览器和服务器中。 要启用 SSL，您需要安装数字证书。 各种数字证书的强度根据加密期间生成的密钥的长度而变化。 长度越长，证书就越安全，因此连接也就越安全。